On Thu, Oct 13, 2011 at 05:04:04AM +0200, Tao te Puh wrote:
nachdem ich in 11.4 bezüglich AppArmor nun innerhalb kurzer Zeit zweimal ganz schrecklich auf die Nase gefallen bin (1x dovecot, 1x samba) und jede Menge Zeit vergeudet habe, wollte ich nun doch mal bei Euch nachfragen, ob ich da vielleicht generell was verkehrt mache.
Das AppArmor-Profil für Samba war in der 11.4 fehlerhaft. Dafür ist mittlerweile eine Update verfügbar. http://en.opensuse.org/openSUSE:Most_annoying_bugs_11.4 Bug #666450 Samba server won't start. Possible workarounds: - run Update Profile Wizard (may be necessary two times: one time in order to get nmbd and smbd running and a second time in order to get access to the data) - quick and unrecommended workaround: disable AppArmor in YaST Wenn es auch nach dem Einspielen des Updates nicht funktioniert, dann öffne 666450 bitte wieder. Bei der Verwendung von Samba aus Tumbleweed ist besondere Vorsicht geboten, da sich für den nmbd das Verzeichnis des Sockets geändert hat. Aber auch hier hilft dann das oben beschriebene Vorgehen.
In beiden Fällen hat ein Ausknipsen von AppArmor die Situation bereinigt (es waren unterschiedliche Rechner), aber ich weiß ehrlich gesagt nicht, was das für mich in punkto Sicherheit bedeutet.
a) Stehen die Rechner direkt im Internet? Wenn ja, dann ist die Gefahr generell deutlich höher und ohne AA nochmals höher. b) Der oben beschrieben Ansatz (Update Profile Wizard) funktioniert auch für alle anderen Dienste. [ 8< ]
Alternativ: Was muss ich denn jetzt schon wieder alles studieren um ein sicheres, aber administrierbares System zu bekommen?
Ein Blick in die most annoying bugs der jeweiligen Version hilft oft.
Ich finde es auch extrem schwer diesem Fehlerteufel auf die Spur zu kommen. In beiden o.a. Fällen bin ich erst nach langer Zeit und eher per Zufall darauf gekommen das AppArmor dahinter steckt. Wo gibt es denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe zugeschlagen!".
In der Standardkonfiguration ist man meiner Erfahrung nach leider auf seine Intuition angewiesen. Gegebenenfalls bitte einen Featurerequest per openFATE öffnen. Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany