Hallo Christian, zunächst mal herzlichen Dank für Deine schnelle Reaktion, den Bug-Report (ich tue mich da nämlich immer sehr schwer mit) und den Fakt, dass Du mich dort auch gleich mal als "Observer" eingetragen hast. Am 22.10.2011 20:29, schrieb Christian Boltz:
Hallo Tao, hallo Leute,
Am Samstag, 22. Oktober 2011 schrieb Tao te Puh:
vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen.
Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen.
Bis eben wusste ich nichtmal, dass es sowas überhaupt gibt ;-) und Du bist scheinbar der Erste, der diese Option nutzt - zumindest habe ich dafür noch keinen Bugreport fürs AppArmor-Profils gesehen.
Na endlich bin ich mal in irgendwas der Erste ... Blöd nur, dass auch dieses Neuland gleich mal vermient war ...
Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log":
type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss?
Ganz einfach - als root aa-logprof aufrufen ;-)
Apropos ganz einfach: Bei mir schaut der Aufruf von aa-logprof so aus:
----------------------------------------
Lese Protokolleinträge von /var/log/audit/audit.log.
AppArmor-Profile in /etc/apparmor.d werden aktualisiert.
Änderungen im Erzwingungs-Modus:
Profil: /bin/ping
Pfad: /var/lib/samba/gencache.tdb
Modus: rw
Schweregrad: Unbekannt
1 - #include
Das schlägt Dir vermutlich eine Zeile /usr/lib/samba/vfs/recycle.so mr, vor.
Da es im gleichen Verzeichnis noch mehr VFS-Module gibt, drückst Du am Besten einmal e um die Regel zu /usr/lib/samba/vfs/*.so mr, zu ändern.
Dann noch a für allow und das Profil speichern - fertig.
Der Vollständigkeit halber: im offiziellen Profil werde ich /usr/lib*/samba/vfs/*.so mr, verwenden, damit es auch auf 64bit-Systemen (mit /usr/lib64/...) funktioniert.
Die Frage ist, was mit den anderen Dateien in /usr/lib*/samba ist - ich hoffe, dass Lars mir darauf bald eine Antwort in Bugzilla einträgt ;-) https://bugzilla.novell.com/show_bug.cgi?id=725967
Gruß
Christian Boltz
-- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org