On Fri, Oct 14, 2011 at 08:47:50AM +0200, Tao te Puh wrote:
Am 13.10.2011 13:00, schrieb Lars Müller:
On Thu, Oct 13, 2011 at 05:04:04AM +0200, Tao te Puh wrote:
nachdem ich in 11.4 bezüglich AppArmor nun innerhalb kurzer Zeit zweimal ganz schrecklich auf die Nase gefallen bin (1x dovecot, 1x samba) und jede Menge Zeit vergeudet habe, wollte ich nun doch mal bei Euch nachfragen, ob ich da vielleicht generell was verkehrt mache.
Das AppArmor-Profil für Samba war in der 11.4 fehlerhaft. Dafür ist mittlerweile eine Update verfügbar.
Du meinst im normalen Update-Repo?
http://download.opensuse.org/pub/opensuse/update/11.4/
Mein System war aktuell als der Fehler auftrat.
http://en.opensuse.org/openSUSE:Most_annoying_bugs_11.4
Bug #666450 Samba server won't start. Possible workarounds:
- run Update Profile Wizard (may be necessary two times: one time in order to get nmbd and smbd running and a second time in order to get access to the data)
- quick and unrecommended workaround: disable AppArmor in YaST
Die Seite hatte ich auch gefunden. Allerdings erst nachdem ich letztendlich AppArmor als Auslöser identifiziert und nach "samba <-> AppArmor" gesucht hatte.
Ja, das übliche Henne-Ei-Problem. :(
Wenn es auch nach dem Einspielen des Updates nicht funktioniert, dann öffne 666450 bitte wieder.
Wenn ich nur wüsste welche Updates Du meinst - oder meinst Du das Update aus Factory welches Christian beschrieben hat? Normalerweise mache ich eine Bogen um Factory.
Konkret meinte ich ein Update für AppArmor, dass den Fehler im Samba-Profil behebt.
Bei der Verwendung von Samba aus Tumbleweed ist besondere Vorsicht geboten, da sich für den nmbd das Verzeichnis des Sockets geändert hat. Aber auch hier hilft dann das oben beschriebene Vorgehen.
Ursprünglich war der Rechner auf dem ich Samba installieren wollte ein Tumbleweed. Aufgrund der Probleme habe ich dann aber doch ein reines 11.4 installiert und war erstaunt, dass ich die gleichen Probleme hatte ...
In beiden Fällen hat ein Ausknipsen von AppArmor die Situation bereinigt (es waren unterschiedliche Rechner), aber ich weiß ehrlich gesagt nicht, was das für mich in punkto Sicherheit bedeutet.
a) Stehen die Rechner direkt im Internet? Wenn ja, dann ist die Gefahr generell deutlich höher und ohne AA nochmals höher.
Was meinst Du mit direkt? Der eine Rechner hängt schon am Internet, allerdings hinter einer Firewall, so dass die Dienste von extern nicht direkt zugänglich sind.
Direkt heißt mit Hose runter. Ohne Firewall oder sonstige Filter. Eben IP für richtige Frauen und Männer. ;) [ 8< ]
Ich erinnere mich noch an die Zeit als die SuSEfirewall Einzug fand. Da gab es ähnliche Situationen bei denen man erst einmal nicht darauf kam warum etwas nicht lief. Mittlerweile hat die Firewall ja sogar ein eigenes Logfile und der Blick dort hinein, ist zur Routine geworden ... zukünftig werde ich halt auch ein Auge auf das audit.log haben ...
/var/log/audit/ zwar nicht gerade intuitiv, wenn das Werkzeug AppArmor heißt, aber so ist das Leben. Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany