Hallo Lars, Dank auch an Dich für Deine Hilfe. Am 13.10.2011 13:00, schrieb Lars Müller:
On Thu, Oct 13, 2011 at 05:04:04AM +0200, Tao te Puh wrote:
nachdem ich in 11.4 bezüglich AppArmor nun innerhalb kurzer Zeit zweimal ganz schrecklich auf die Nase gefallen bin (1x dovecot, 1x samba) und jede Menge Zeit vergeudet habe, wollte ich nun doch mal bei Euch nachfragen, ob ich da vielleicht generell was verkehrt mache.
Das AppArmor-Profil für Samba war in der 11.4 fehlerhaft. Dafür ist mittlerweile eine Update verfügbar.
Du meinst im normalen Update-Repo? Mein System war aktuell als der Fehler auftrat.
http://en.opensuse.org/openSUSE:Most_annoying_bugs_11.4
Bug #666450 Samba server won't start. Possible workarounds:
- run Update Profile Wizard (may be necessary two times: one time in order to get nmbd and smbd running and a second time in order to get access to the data)
- quick and unrecommended workaround: disable AppArmor in YaST
Die Seite hatte ich auch gefunden. Allerdings erst nachdem ich letztendlich AppArmor als Auslöser identifiziert und nach "samba <-> AppArmor" gesucht hatte.
Wenn es auch nach dem Einspielen des Updates nicht funktioniert, dann öffne 666450 bitte wieder.
Wenn ich nur wüsste welche Updates Du meinst - oder meinst Du das Update aus Factory welches Christian beschrieben hat? Normalerweise mache ich eine Bogen um Factory.
Bei der Verwendung von Samba aus Tumbleweed ist besondere Vorsicht geboten, da sich für den nmbd das Verzeichnis des Sockets geändert hat. Aber auch hier hilft dann das oben beschriebene Vorgehen.
Ursprünglich war der Rechner auf dem ich Samba installieren wollte ein Tumbleweed. Aufgrund der Probleme habe ich dann aber doch ein reines 11.4 installiert und war erstaunt, dass ich die gleichen Probleme hatte ...
In beiden Fällen hat ein Ausknipsen von AppArmor die Situation bereinigt (es waren unterschiedliche Rechner), aber ich weiß ehrlich gesagt nicht, was das für mich in punkto Sicherheit bedeutet.
a) Stehen die Rechner direkt im Internet? Wenn ja, dann ist die Gefahr generell deutlich höher und ohne AA nochmals höher.
Was meinst Du mit direkt? Der eine Rechner hängt schon am Internet, allerdings hinter einer Firewall, so dass die Dienste von extern nicht direkt zugänglich sind.
b) Der oben beschrieben Ansatz (Update Profile Wizard) funktioniert auch für alle anderen Dienste.
Den Profile Wizard hatte ich durchgespielt, das hat aber keine Besserung gebracht. Leider kannte ich zu diesem Zeitpunkt die Datei audit.log noch nicht und kann deshalb auch nicht mehr nachvollziehen, was nach dem Wizard noch angenörgelt wurde.
[ 8< ]
Alternativ: Was muss ich denn jetzt schon wieder alles studieren um ein sicheres, aber administrierbares System zu bekommen?
Ein Blick in die most annoying bugs der jeweiligen Version hilft oft.
Das werde ich mir merken/notieren.
Ich finde es auch extrem schwer diesem Fehlerteufel auf die Spur zu kommen. In beiden o.a. Fällen bin ich erst nach langer Zeit und eher per Zufall darauf gekommen das AppArmor dahinter steckt. Wo gibt es denn da mal eine Fehlermeldung der Art: "Ich, AppArmor habe zugeschlagen!".
In der Standardkonfiguration ist man meiner Erfahrung nach leider auf seine Intuition angewiesen.
Gegebenenfalls bitte einen Featurerequest per openFATE öffnen.
Ich erinnere mich noch an die Zeit als die SuSEfirewall Einzug fand. Da gab es ähnliche Situationen bei denen man erst einmal nicht darauf kam warum etwas nicht lief. Mittlerweile hat die Firewall ja sogar ein eigenes Logfile und der Blick dort hinein, ist zur Routine geworden ... zukünftig werde ich halt auch ein Auge auf das audit.log haben ... -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org