<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><span id="result_box" class="short_text" lang="en"><span class="">In the last days</span></span>, I've noticed that running netstat(8) utility via sudo(8) is responsible for many entries in various log files, such as /var/log/kern.log or /var/log/syslog. I'm using this profile [1]. There are many DENIED messages but not related with, for example, lack of some rule etc. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">It looks this way; run i.e. `sudo netstat -talpn` command and check log files - there are such entries: <br><br>Nov 30 19:12:15 t4 kernel: [12380.946835] type=1400 audit(1480529535.149:812): apparmor="DENIED" operation="ptrace" parent=5014 profile="/bin/netstat" pid=5015 comm="netstat" target=B00280F4B00280F42701 <br><br>Nov 30 19:12:15 t4 kernel: [12380.946850] type=1400 audit(1480529535.149:813): apparmor="DENIED" operation="ptrace" parent=5014 profile="/bin/netstat" pid=5015 comm="netstat" target=B00280F4B00280F42701 <br><br>Nov 30 19:12:15 t4 kernel: [12380.946859] type=1400 audit(1480529535.149:814): apparmor="DENIED" operation="ptrace" parent=5014 profile="/bin/netstat" pid=5015 comm="netstat" target=B00280F4B00280F42701 <br><br>Dec  6 15:27:11 t4 kernel: [  816.591037] type=1400 audit(1481034431.811:45): apparmor="DENIED" operation="ptrace" parent=17598 profile="/bin/netstat" pid=17599 comm="netstat" target=B00280F4B00280F44B01 <br><br>Dec  6 15:27:11 t4 kernel: [  816.591069] type=1400 audit(1481034431.811:46): apparmor="DENIED" operation="ptrace" parent=17598 profile="/bin/netstat" pid=17599 comm="netstat" target=B00280F4B00280F44B01 <br><br>Dec  6 15:27:11 t4 kernel: [  816.591086] type=1400 audit(1481034431.811:47): apparmor="DENIED" operation="ptrace" parent=17598 profile="/bin/netstat" pid=17599 comm="netstat" target=B00280F4B00280F44B01 <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">There are, of course, many more such entries - about 80. maybe more. As we can see the only one thing, which has changed, is "target=" entry. It's normal, or 'bin.netstat' profile needs some changes, updates etc? What is yours opinions? <br><br>One more thing: if I'm not using IPv6 can I remove such rules from a profile?: <br><br>owner @{PROC}/*/net/raw6 r, <br>owner @{PROC}/*/net/tcp6 r, <br>owner @{PROC}/*/net/udp6 r, <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">AppArmor version: 2.7.102-0ubuntu3.10, Release: 12.04 LTS with latest Linux kernel (update from Mon, Dec 5; ver. 3.2.0-118.161.) <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards. <br>_____________<br>[1] <a href="https://github.com/Harvie/AppArmor-Profiles/blob/master/bin.netstat">https://github.com/Harvie/AppArmor-Profiles/blob/master/bin.netstat</a> <br><br></div></div>