Mailinglist Archive: opensuse-de (539 mails)
| < Previous | Next > |
Re: AppArmor
- From: Tao te Puh <taotepuh@xxxxxxxxxxxxxxx>
- Date: Fri, 14 Oct 2011 08:47:50 +0200
- Message-id: <4E97DB16.7010000@e-sol.utions.de>
Hallo Lars,
Dank auch an Dich für Deine Hilfe.
Am 13.10.2011 13:00, schrieb Lars Müller:
Du meinst im normalen Update-Repo? Mein System war aktuell als der Fehler auftrat.
Die Seite hatte ich auch gefunden. Allerdings erst nachdem ich letztendlich AppArmor als Auslöser identifiziert und nach "samba <-> AppArmor" gesucht hatte.
Wenn ich nur wüsste welche Updates Du meinst - oder meinst Du das Update aus Factory welches Christian beschrieben hat? Normalerweise mache ich eine Bogen um Factory.
Ursprünglich war der Rechner auf dem ich Samba installieren wollte ein Tumbleweed. Aufgrund der Probleme habe ich dann aber doch ein reines 11.4 installiert und war erstaunt, dass ich die gleichen Probleme hatte ...
Was meinst Du mit direkt? Der eine Rechner hängt schon am Internet, allerdings hinter einer Firewall, so dass die Dienste von extern nicht direkt zugänglich sind.
Den Profile Wizard hatte ich durchgespielt, das hat aber keine Besserung gebracht. Leider kannte ich zu diesem Zeitpunkt die Datei audit.log noch nicht und kann deshalb auch nicht mehr nachvollziehen, was nach dem Wizard noch angenörgelt wurde.
Das werde ich mir merken/notieren.
Ich erinnere mich noch an die Zeit als die SuSEfirewall Einzug fand. Da gab es ähnliche Situationen bei denen man erst einmal nicht darauf kam warum etwas nicht lief. Mittlerweile hat die Firewall ja sogar ein eigenes Logfile und der Blick dort hinein, ist zur Routine geworden ... zukünftig werde ich halt auch ein Auge auf das audit.log haben ...
--
Herzliche Grüße
Tao
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@xxxxxxxxxxxx
Dank auch an Dich für Deine Hilfe.
Am 13.10.2011 13:00, schrieb Lars Müller:
On Thu, Oct 13, 2011 at 05:04:04AM +0200, Tao te Puh wrote:
nachdem ich in 11.4 bezüglich AppArmor nun innerhalb kurzer Zeit
zweimal ganz schrecklich auf die Nase gefallen bin (1x dovecot, 1x
samba) und jede Menge Zeit vergeudet habe, wollte ich nun doch mal
bei Euch nachfragen, ob ich da vielleicht generell was verkehrt
mache.
Das AppArmor-Profil für Samba war in der 11.4 fehlerhaft. Dafür ist
mittlerweile eine Update verfügbar.
Du meinst im normalen Update-Repo? Mein System war aktuell als der Fehler auftrat.
http://en.opensuse.org/openSUSE:Most_annoying_bugs_11.4
Bug #666450 Samba server won't start. Possible workarounds:
- run Update Profile Wizard (may be necessary two times: one time in
order to get nmbd and smbd running and a second time in order to
get access to the data)
- quick and unrecommended workaround: disable AppArmor in YaST
Die Seite hatte ich auch gefunden. Allerdings erst nachdem ich letztendlich AppArmor als Auslöser identifiziert und nach "samba <-> AppArmor" gesucht hatte.
Wenn es auch nach dem Einspielen des Updates nicht funktioniert, dann
öffne 666450 bitte wieder.
Wenn ich nur wüsste welche Updates Du meinst - oder meinst Du das Update aus Factory welches Christian beschrieben hat? Normalerweise mache ich eine Bogen um Factory.
Bei der Verwendung von Samba aus Tumbleweed ist besondere Vorsicht
geboten, da sich für den nmbd das Verzeichnis des Sockets geändert hat.
Aber auch hier hilft dann das oben beschriebene Vorgehen.
Ursprünglich war der Rechner auf dem ich Samba installieren wollte ein Tumbleweed. Aufgrund der Probleme habe ich dann aber doch ein reines 11.4 installiert und war erstaunt, dass ich die gleichen Probleme hatte ...
In beiden Fällen hat ein Ausknipsen von AppArmor die Situation
bereinigt (es waren unterschiedliche Rechner), aber ich weiß ehrlich
gesagt nicht, was das für mich in punkto Sicherheit bedeutet.
a) Stehen die Rechner direkt im Internet? Wenn ja, dann ist die Gefahr
generell deutlich höher und ohne AA nochmals höher.
Was meinst Du mit direkt? Der eine Rechner hängt schon am Internet, allerdings hinter einer Firewall, so dass die Dienste von extern nicht direkt zugänglich sind.
b) Der oben beschrieben Ansatz (Update Profile Wizard) funktioniert auch
für alle anderen Dienste.
Den Profile Wizard hatte ich durchgespielt, das hat aber keine Besserung gebracht. Leider kannte ich zu diesem Zeitpunkt die Datei audit.log noch nicht und kann deshalb auch nicht mehr nachvollziehen, was nach dem Wizard noch angenörgelt wurde.
[ 8< ]
Alternativ: Was muss ich denn jetzt schon wieder alles studieren um
ein sicheres, aber administrierbares System zu bekommen?
Ein Blick in die most annoying bugs der jeweiligen Version hilft oft.
Das werde ich mir merken/notieren.
Ich finde es auch extrem schwer diesem Fehlerteufel auf die Spur zu
kommen. In beiden o.a. Fällen bin ich erst nach langer Zeit und eher
per Zufall darauf gekommen das AppArmor dahinter steckt. Wo gibt es
denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe
zugeschlagen!".
In der Standardkonfiguration ist man meiner Erfahrung nach leider auf
seine Intuition angewiesen.
Gegebenenfalls bitte einen Featurerequest per openFATE öffnen.
Ich erinnere mich noch an die Zeit als die SuSEfirewall Einzug fand. Da gab es ähnliche Situationen bei denen man erst einmal nicht darauf kam warum etwas nicht lief. Mittlerweile hat die Firewall ja sogar ein eigenes Logfile und der Blick dort hinein, ist zur Routine geworden ... zukünftig werde ich halt auch ein Auge auf das audit.log haben ...
--
Herzliche Grüße
Tao
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um den Listen Administrator zu erreichen, schicken
Sie eine Mail an: opensuse-de+owner@xxxxxxxxxxxx
| < Previous | Next > |