Am Donnerstag, 28. Dezember 2006 15:12 schrieb Steffen Dettmer:
danke für Deine Mail, das wars. :)
* Jan Ritzerfeld wrote on Thu, Dec 28, 2006 at 11:36 +0100:
In der manpage wird suggeriert, das das ginge.
Zumindest wird es unter SL 10.1 /nicht/ suggeriert: Thus, REJECTING and PERMITTING messages
| may go to either /var/log/audit/audit.log or /var/log/messages, | depending upon local configuration.
Doch, da steht doch: können nach /var/log/messages kommen, je nach lokaler Konfiguration?
Es steht aber auch da, wann das passiert: "If the userland auditd is not running, the kernel will send audit events to klogd; klogd will send the messages to syslog, (...).".
Macht das nicht mehr Sinn, die Fehler an einer Stelle zu haben, anstatt hunderte Files durchsuchen zu müssen?
Kannst ja den auditd deaktivieren, dann landet es da wo du es erwartest. Und so wie ich das sehe, ist auditd keine SUSE-Erfindung. Dazu gibt es dann auch Tools zum Reports erstellen oder durchsuchen der audit-Logs, sieht "man auditd".
thinkpadw:/etc/apparmor # find . -type f | xargs grep tty10 Was mache ich falsch?
Du suchst wohl im falschen Verzeichnis. Probier mal grep -r tty /etc/apparmor.d/
Ach so, na super loooool
Dachte, das läge in /etc/apparmor/profiles/extras (so liegen ja viele solcher Files).
man apparmor: | Profiles are traditionally stored in files in /etc/apparmor.d/ under | filenames with the convention of replacing the / in pathnames with . | (except for the root /) so profiles are easier to manage (e.g. | the /usr/sbin/nscd profile would be named usr.sbin.nscd).
Meiner Meinung nach ein Bug, dass /etc/apparmor ein Verzeichnis gibt, wenn ein /etc/apparmor.d existiert. Soweit ich das kannte, machte man die .d Verzeichnisse, wenn es schon/optional/alternativ den gleichen Namen als reguläres File gibt. Hier beides als Verzeichnisse zu machen, ist eine neue schlechte Idee, oder?
Gute Frage. Mir fällt aber so direkt auch keine bessere Möglichkeit ein.
Wie ist hier die Regel? Warum liegt z.B. portmap in /etc/apparmor/profiles/?
Bei der SL 10.1 sieht das wohl noch ein bißchen anders aus, ich habe da noch eine weiteres Unterverzeichnis mit einer recht aufschlußreichen README-Datei: /etc/apparmor/profiles/extras/README | The profiles in this directory are not turned on by default because they | are not as mature as the profiles in /etc/apparmor.d/.
Aber auch ohne grep sollte recht klar sein, daß die entsprechenden Einstellungen in /etc/apparmor.d/sbin.syslogd liegen, weil das sagt dir dein Ausschnitt aus dem audit.log netterweise auch.
(Nein, es behauptet das Profil wäre "/sbin/syslog-ng", was natürlich nicht der Profildateiname ist ;))
Stimmt! Sehr interessant ...
Allerdings sehe ich in dem syslog-Profil von SL 10.1 nur eine Beschränkung auf tty*. Daher sollte tty9 auch funktionieren. Was steht denn bei dir in dem Profil zu tty?
Bei mir stand "/dev/tty10 w" drin. Hab tty9 hinzugefügt, rcapparmor reload und geht.
Sehr schön.
Jetzt mal hoffen, dass die Files nicht automatisch überschrieben werden...
Bestimmt! :-P
Danke!
np BTW, Christian hatte Ende August hier mal folgendes geschrieben: Lesetipp: http://en.opensuse.org/Apparmor (oder http://de.opensuse.org/Apparmor) sowie das AppArmor-Handbuch (PDF) unter http://download.opensuse.org/distribution/SL-10.1/inst-source/docu/de/ Für die 10.2 finde ich das AppArmor-Handbuch nicht auf die schnelle. Gruß Jan -- Rust Never Sleeps. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org