C'est pourtant clair, 3 sources de documentations nous disent que pour désactiver AppArmor il suffit de stopper le service. Très bien, essayons:
root@ubuntu:~# systemctl stop apparmor
root@ubuntu:~# systemctl disable apparmor
apparmor.service is not a native service, redirecting to systemd-sysv-install
Executing /lib/systemd/systemd-sysv-install disable apparmor
insserv: warning: current start runlevel(s) (empty) of script `apparmor' overrides LSB defaults (S).
insserv: warning: current stop runlevel(s) (S) of script `apparmor' overrides LSB defaults (empty).
Utilisons la commande apparmor_status pour voir le status de AppArmor:
root@ubuntu:~# apparmor_status
apparmor module is loaded.
13 profiles are loaded.
13 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/lxc-start
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/lxd/lxd-bridge-proxy
/usr/lib/snapd/snap-confine
/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/sbin/tcpdump
lxc-container-default
lxc-container-default-cgns
lxc-container-default-with-mounting
lxc-container-default-with-nesting
0 profiles are in complain mode.
1 processes have profiles defined.
1 processes are in enforce mode.
/sbin/dhclient (848)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
Diantre! C'est pas bon signe. Faisons un essai en installant mysql-server et en déplaçant son /var/lib/mysql ailleurs:
root@ubuntu:~# apt-get install mysql-server
root@ubuntu:~# systemctl stop mysql
root@ubuntu:~# mv /var/lib/mysql /opt/
root@ubuntu:~# sed -i "s@/var/lib/mysql@/opt/mysql@g" /etc/mysql/mysql.conf.d/mysqld.cnf
root@ubuntu:~# systemctl start mysql
Job for mysql.service failed because the control process exited with error code. See "systemctl status mysql.service" and "journalctl -xe" for details.
AppArmor n'est pas désactivé du tout, on ne peut pas faire confiance à la documentation Ubuntu!!! Il faut en fait rebooter le serveur, vraiment génial quand celui-ci est déjà en production ou quand on essaie d'automatiser une installation avec Ansible.
Après quelques recherches je suis tombé sur cet article qui nous indique qu'on peut utiliser la commande service apparmor teardown :
root@ubuntu:~# service apparmor teardown
* Unloading AppArmor profiles [ OK ]
root@ubuntu:~# apparmor_status
apparmor module is loaded.
0 profiles are loaded.
0 profiles are in enforce mode.
0 profiles are in complain mode.
0 processes have profiles defined.
0 processes are in enforce mode.
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
root@ubuntu:~# systemctl start mysql
root@ubuntu:~# ps aux | grep mysql
mysql 925 0.0 13.2 1107628 134140 ? Ssl 10:43 0:00 /usr/sbin/mysqld
root 1224 0.0 0.0 14264 920 pts/0 S+ 10:46 0:00 grep --color=auto mysql
AppArmor nous laisse enfin tranquille, et sans rebooter le serveur :)
De manière amusant, teardown se traduit par démolir, raser. Est-ce une indication de l'état d'esprit de celui qui a codé le service de démarrage/arrêt d'AppArmor?
Je suis de moins en moins fan de Ubuntu sur les serveurs, car entre les très nombreuses mise à jour de Kernel (reboot fréquents) et les technologies maison de Canonical qui imite RedHat sans en avoir les moyens ou le talent, on se dit que rien ne vaut Debian ou CentOS sur un serveur.
Lorsque que Canonical a annoncé l'abandon de Unity, j'ai dit que c'était dommage car cette interface était intéressante et proposait une alternative à ce qui existe à côté. Mais à côté de cela j'ai cru comprendre qu'il était facile de refaire la même chose avec GNOME 3 et quelques extensions. Et en effet, c'est possible:
Il s'agit d'une capture d'écran réalisée sur openSUSE Tumbleweed en version GNOME bien entendu, avec les modifications suivantes:
Extension Alternatetab (aperçu des fenêtres lors du ALT+TAB, de base on ne voit que l'icône).
Extension Dash to dock (le dock, personnalisable).
Gnome tweak (inclus dans GNOME) pour remettre les boutons de miniaturisation et maximisation sur les bordures de fenêtres.
Nemo qui remplace Nautilus, un peu plus personalisable.
(et le wallpaper mais vous l'avez déjà remarqué).
Il manque encore certains éléments mais je pense qu'il est possible d'y remédier:
Un thème d'icônes et de fenêtres plus colorés.
Un gestionnaire de bureaux virtuels visible directement permettant de switcher rapidement sans devoir entrer dans le menu activités.
Des bordures de fenêtre moins épaisses.
L'orientation de Canonical vers GNOME permettra donc à Ubuntu de conserver son identité visuelle tout en s'épargnant énormément de développement redondant avec ce qui existe déjà (une habitude pour la firme). J'attends avec impatiente de voir ce que va donner Ubuntu 17.10.
Mouarf. Il y a quelques temps je me plaignais de ne pas avoir assez d'inspiration pour écrire, alors que maintenant je dirai presque qu'il y a trop de sujet sur lesquels j'ai envie de troller réagir.
Je trouve cela dommage car même s'il y a à mon sens pas mal de bugs, Unity est un excellent environnement qui arrive à proposer des choses intéressantes sans pour autant casser les habitudes des gens. Je trouve d'autant plus dommage de choisir GNOME comme futur environnement et je ne comprends pas ce choix, car ce qui plaît aux débutants et à un large public en général, c'est Linux Mint et son bureau Cinamon. Peut-être était-ce un choix par défaut étant donné qu'il existe déjà des variantes officielles pour tous les bureaux alternatifs (kubuntu, xubuntu...).
Au final je ne sais pas trop quoi penser, j'y vois un choix pragmatique, Ubuntu sacrifie son identité au profil de l'efficacité et cela ne présage rien de bon. J'espère que la distribution saura rebondir et nous convaincre que Canonical est toujours en bonne santé.
EDIT : Mir abandonné aussi... bon ça je m'y attendais, ce projet avait de moins en moins de sens et de plus en plus de retard.
Depuis la mise à jour anniversary de Windows 10, il est possible d'installer un sous-système ubuntu 14.04 et de lancer bash (et d'autres logiciels), ça ressemble à ça :
Impressionné ? Non ? Moi non plus, on a déjà vu ça avec Cygwin (qui existe depuis 1995 d'après Wikipedia), la différence est que c'est supporté par Microsoft et que l'on a accès aux dépôts de ubuntu. Et comme il s'agit de la 14.04, pas de systemd, dommage cela aurait pu donner lieu de bons à trolls.
Tous ces efforts de Microsoft pour se rapprocher de Linux montrent à quel point ils sont largués. Bien que Windows soit solidement implanté dans le grand public (grâce à la vente liée) et le monde professionnel (A.D, Exchange qui sont plutôt de bons outils) c'est toujours Linux qui est en tête sur les serveurs présents sur internet (web et messagerie pour ne citer que deux domaines). En tant que sysadmin je ne peux pas faire mon métier depuis Windows, cet OS n'est pas conçu pour cela : où sont dig, tcpdump, ssh , grep ? Et pourquoi est-ce que je choisirais IIS qui nécessite d'acheter une licence Windows Server ainsi qu'une machine correctement dimensionnée (gros CPU, 4GB de RAM, 80GB de disque) tout ça pour avoir moins de souplesse et de performances que Debian + Nginx qui tiennent sur 256MB de RAM et 8GB de disque ?
Dans le monde du devops, là encore Microsoft est à la ramasse. Par exemple Ansible et Docker sont des outils libres, gratuits, communautaires, documentés et simples qui ont le vent en poupe et s'appuient sur des composants qui n'existent pas sur Windows : ssh pour le premier, les containers pour le second. Et c'est génial.
En conclusion ce sous-système ubuntu dans Windows ne révolutionne rien mais vient combler un manque de Windows et il en avait grandement besoin. Reste à voir comment il se comporte et s'administre, avec le temps.
Voilà un slogan qui va bien à Canonical et qui décrit les problèmes de qualité sur Ubuntu desktop.
Ils ont en particulier des soucis avec nm-applet, vous savez le petit applet réseau dans le systray. Outre le fait qu'il plantait quasiment tous les jours les premiers mois après la sortie de la 16.04LTS (il a bien fallu 4 mois pour que ce soit corrigé), suite à une mise à jour ce dernier m'affiche aujourd'hui n'importe quoi.
Les réseaux WiFi ont disparu... et pourtant je suis connecté quand même :
Ce n'est pas la première fois que je tombe sur ce genre de coquille, c'est systématique, et c'est toujours chez Ubuntu. J'ai en parallèle une debian testing depuis 2 ans et je n'ai jamais rien vu de tel.
Ubuntu 16.04 est une LTS, vous pouvez me rétorquer que ça veut pas dire que c'est stable mais qu'il y a du support plus longtemps, mais si, désolé, ça devrait être stable. LTS c'est ce que Canonical recommande aux entreprises et aux utilisateurs exigeants. Il ne devrait pas y avoir ce genre de bug. Imaginez un peu si Microsoft pétait le réseau dans Windows 10 suite à une mise à jour, le tollé que ce la provoquerait.
D'après les chiffres Steam (que je trouve un peu plus représentatifs que distrowatch) ubuntu est la distribution la plus utilisée avec 30% des utilisateurs. Cela veut dire qu'on véhicule une image d'un Linux pas stable, avec des défauts de contrôle qualité, et une précipitation ridicule pour sortir dans les temps à tout prix.
N'installez pas Ubuntu à votre entourage, installez Debian, la seule, l'unique distribution qui devrait avoir le droit de représenter Linux et son écosystème. Les versions un peu datées des logiciels ne sont souvent pas un problème et peuvent au pire se contourner avec les backports. Tant que Canonical ne changera pas de politique concernant le rythme de sortie des version de Ubuntu, il restera beaucoup trop de bugs inacceptables pour les utilisateurs auxquels cette distribution s'adresse.