Ubuntu上的strongSwan 5.1.2 (14.0.4)和AppArmor

Question

我已经使用strongSwan 5.1.2在Ubuntu上配置了VPN，并且连接还可以。守护进程正在以root方式运行。

但是，当我在Bash (根连接)中通过ipsec包装器执行任何笔画命令时，它会回答：

reading from socket failed: Permission denied

当我取消/etc/apparmor.d/usr.lib.ipsec.stroke AppArmor配置文件时，命令将正确地回答。

这是默认的AppArmor配置文件：

#include <tunables/global>

/usr/lib/ipsec/stroke {
  #include <abstractions/base>
  /etc/strongswan.conf          r,
  /etc/strongswan.d/            r,
  /etc/strongswan.d/**          r,
  /run/charon.ctl               rw,
}

我找不到要使命令回复正确的添加内容。

知道吗？

谢谢你，法布里丝·巴科尼埃

Answer 1

我看到了同样的问题，但它只发生了一些时候。有时ipsec命令成功完成，有时相同的命令将获得拒绝权限的错误。移除设备配置文件修复了以下问题：

apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.charon
apparmor_parser -R /etc/apparmor.d/usr.lib.ipsec.stroke

肯定是在最近的一段时间里。

Answer 2

是的，我也有同样的行为。ipsec命令是stroke命令的包装器。只删除stroke AppArmor配置文件就足够了。