Hallo Tao, hallo Leute, Am Sonntag, 23. Oktober 2011 schrieb Tao te Puh:
zunächst mal herzlichen Dank für Deine schnelle Reaktion, den Bug-Report (ich tue mich da nämlich immer sehr schwer mit) und den Fakt, dass Du mich dort auch gleich mal als "Observer" eingetragen hast.
Am 22.10.2011 20:29, schrieb Christian Boltz:
Am Samstag, 22. Oktober 2011 schrieb Tao te Puh:
vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen.
Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen.
Bis eben wusste ich nichtmal, dass es sowas überhaupt gibt ;-) und Du bist scheinbar der Erste, der diese Option nutzt - zumindest habe ich dafür noch keinen Bugreport fürs AppArmor-Profils gesehen. Na endlich bin ich mal in irgendwas der Erste ... Blöd nur, dass auch dieses Neuland gleich mal vermient war ...
;-)
Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log":
type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss?
Ganz einfach - als root aa-logprof aufrufen ;-)
Apropos ganz einfach: Bei mir schaut der Aufruf von aa-logprof so aus:
---------------------------------------- Lese Protokolleinträge von /var/log/audit/audit.log. AppArmor-Profile in /etc/apparmor.d werden aktualisiert. Änderungen im Erzwingungs-Modus:
Profil: /bin/ping Pfad: /var/lib/samba/gencache.tdb Modus: rw Schweregrad: Unbekannt
1 - #include
2 - #include 3 - #include [4 - /var/lib/samba/gencache.tdb] (A)llow / [(D)eny] / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts ----------------------------------------
Dabei geht es offensichtlich um eine andere Regelverletzung, aber wie überspringt ich die und wie gelange ich zu der um die es geht
Auf die lange Bank schieben geht nicht ;-) Entweder mit _a_llow erlauben oder mit _d_eny verbieten. Deny schreibt eine entsprechende Regel ins Profil - die entsprechende Aktion wird also dauerhaft verboten. Aber: Dein Ausschnitt von aa-logprof sieht _sehr_ komisch aus - warum sollte ping Schreibrechte auf die Datei in /var/lib/samba/gencache.tdb wollen? Kannst Du das reproduzieren? Wenn ja, schick mir bitte Deine komplette /var/log/audit/audit.log (per PM) - ich würde mir das gern mal genauer ansehen. Bitte auch eine Info dazupacken, welche AppArmor-Version Du einsetzt (rpm -q apparmor-utils).
(Eine Option "Next" wäre intuitiv)?
Ich würde sie eher "skip" nennen. Ich rege das mal upstream an. Gruß Christian Boltz -- Bei mir war es dann doch sinnvoller, bei dem nicht funktionierenden Laufwerk (Scheiss Linux! Scheiss Yast! Scheiss Suse! Alles Scheisse!)...ähem... den IDE-Stecker auch wirklich reinzustecken (Scheiss Ratti....) :-)) [Ratti in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org