Hallo Christian, hallo zusammen, ja super Fehler gefunden aber wegen Unfähigkeit nicht zu beseitigen. Vielen Dank schon mal. Im "complain -mode" funktionier alles wie es soll. Ich habe dann mal Regeln gelöscht und eingefügt. Dann mit aa-logprof apparmor upgedated. Ergebnis siehe hier capability setuid, /etc/dovecot/** r, /usr/bin/doveconf rix, /usr/lib/dovecot/managesieve mrix, @{DOVECOT_MAILSTORE}/ rw, @{DOVECOT_MAILSTORE}/** rwlk, owner /home/*/.dovecot.sieve w, owner /home/*/.dovecot.sieve-new.1594300687.P21209M811901.tux rw, owner /home/*/.dovecot.sieve-new.1594300736.P21703M62435.tux rw, owner /home/*/.dovecot.sieve-new.1594301440.P28951M927662.tux rw, owner /home/*/.dovecot.sieve-new.1594302400.P13081M714233.tux rw, owner /home/*/.dovecot.sieve-new.1594303246.P695M145457.tux rw, owner /home/*/.dovecot.sieve-new.1594303416.P2128M763160.tux rw, owner /home/*/.dovecot.sieve-new.1594303423.P2159M653787.tux rw, owner /home/*/.dovecot.sieve-new.1594303451.P2464M817179.tux rw, owner /home/*/sieve/ r, owner /home/*/sieve/dovecot.orig.sieve w, owner /home/*/sieve/dovecot.orig.sieve.tmp rwl, owner /home/*/sieve/mail.sieve rw, owner /home/*/sieve/tmp/ rw, owner /home/*/sieve/tmp/mail_1594300687.M808832P21209.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594300736.M59181P21703.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594301292.M588150P27743.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301440.M923320P28951.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594301739.M953664P2552.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301820.M117575P4973.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301878.M560176P7464.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301891.M89168P7524.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301900.M473436P7578.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301959.M438084P9886.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301965.M531717P9912.tux.sieve w, owner /home/*/sieve/tmp/mail_1594302332.M236116P12673.tux.sieve w, owner /home/*/sieve/tmp/mail_1594302400.M710706P13081.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594302642.M368325P20690.tux.sieve w, owner /home/*/sieve/tmp/mail_1594302944.M388986P25045.tux.sieve w, owner /home/*/sieve/tmp/mail_1594303061.M182499P28175.tux.sieve w, owner /home/*/sieve/tmp/mail_1594303246.M141902P695.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594303351.M109657P1462.tux.sieve w, owner /home/*/sieve/tmp/mail_1594303416.M759744P2128.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594303423.M650548P2159.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594303451.M813905P2464.tux.sieve rw, } Kann ich da mit dem vi dran ? Nach aktivieren des enforce - modus geht es dann wieder nicht . ----------------ursprüngliche Nachricht----------------- Von: Christian Boltz [suse@cboltz.de] An: opensuse-de@opensuse.org Datum: Thu, 09 Jul 2020 13:13:26 +0200 -------------------------------------------------
Hallo Lothar, hallo zusammen,
Am Mittwoch, 8. Juli 2020, 22:15:33 CEST schrieb Lothar:
Nach einem systemctl stop apparmor.service [...] hat sich nichts geändert.
Das wundert mich überhaupt nicht - "rcapparmor stop" macht _nichts_. Das liegt daran, wie systemd "restart" implementiert - quasi stop gefolgt von start, und für AppArmor ist diese Lösung tödlich. Daher steht in apparmor.service zwecks Schadensvermeidung ExecStop=/bin/true ;-) und ein Kommentar, der die Gründe dafür erklärt.
Falls Du AppArmor tatsächlich abschalten willst, gibt es aa-teardown (das macht das, was eigentlich "stop" machen sollte ;-)
Allerdings würde ich eher zu aa-complain /etc/apparmor.d/usr.lib.dovecot.managesieve raten - da wird erstmal alles erlaubt, aber fleißig geloggt, damit aa-logprof hinterher das Profil passend ergänzen kann. Wenn Du dann alles Nötige erlaubt hast, bitte aa-enforce /etc/apparmor.d/usr.lib.dovecot.managesieve nicht vergessen ;-)
Gruß
Christian Boltz -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Lothar, hallo zusammen, Am Donnerstag, 9. Juli 2020, 18:37:20 CEST schrieb Lothar:
Hallo Christian, hallo zusammen, ja super Fehler gefunden aber wegen Unfähigkeit nicht zu beseitigen.
;-)
Vielen Dank schon mal.
Im "complain -mode" funktionier alles wie es soll. Ich habe dann mal Regeln gelöscht und eingefügt. Dann mit aa-logprof apparmor upgedated. Ergebnis siehe hier
[...]
owner /home/*/.dovecot.sieve w, owner /home/*/.dovecot.sieve-new.1594300687.P21209M811901.tux rw, owner /home/*/.dovecot.sieve-new.1594300736.P21703M62435.tux rw, owner /home/*/.dovecot.sieve-new.1594301440.P28951M927662.tux rw, owner /home/*/.dovecot.sieve-new.1594302400.P13081M714233.tux rw, owner /home/*/.dovecot.sieve-new.1594303246.P695M145457.tux rw, owner /home/*/.dovecot.sieve-new.1594303416.P2128M763160.tux rw, owner /home/*/.dovecot.sieve-new.1594303423.P2159M653787.tux rw, owner /home/*/.dovecot.sieve-new.1594303451.P2464M817179.tux rw,
Die kannst Du mit einem Wildcard zusammenfassen (und damit auch künftige zufällige Dateinamen erlauben): owner /home/*/.dovecot.sieve-new.*.tux rw, Das ist übrigens einer der Gründe, warum mir Dovecot mit virtuellen Benutzern lieber ist - da landen solche Dateien in einem abgetrennten Mailverzeichnis statt im home. Außerdem gehören sie dann einem eigenen User und sind damit vor versehentlichen Änderungen im Homeverzeichnis geschützt - ich bin quasi zum Zugriff per IMAP etc. gezwungen. Ist aber wohl Geschmackssache ;-)
owner /home/*/sieve/ r, owner /home/*/sieve/dovecot.orig.sieve w, owner /home/*/sieve/dovecot.orig.sieve.tmp rwl, owner /home/*/sieve/mail.sieve rw, owner /home/*/sieve/tmp/ rw, owner /home/*/sieve/tmp/mail_1594300687.M808832P21209.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594300736.M59181P21703.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594301292.M588150P27743.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301440.M923320P28951.tux.sieve rw, [...]
Du ahnst es wohl schon: owner /home/*/sieve/tmp/mail_*.tux.sieve w,
Kann ich da mit dem vi dran ?
Natürlich, es gibt sogar Syntax-Highlighting ;-) Hinterher rcapparmor reload nicht vergessen.
Nach aktivieren des enforce - modus geht es dann wieder nicht .
Dann fehlt noch was - lass aa-logprof nochmal laufen und/oder wirf einen Blick ins audit.log. Gruß Christian Boltz -- If I was stranded on an island and the only way to get off the island was to make a pretty UI, I’d die there. [Linus Torvalds on http://blog.ted.com/the-quotable-linus-torvalds-live-onstage-at-ted/] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Christian, super ich kann nun wieder Regeln für dovecot-sieve erstellen. Vielen vielen Dank Nur leider werden sie nicht ausgeführt. Dovecot schweigt dazu . Was kann ich tun ? Lothar ----------------ursprüngliche Nachricht----------------- Von: Christian Boltz [suse@cboltz.de] An: opensuse-de@opensuse.org Datum: Thu, 09 Jul 2020 20:42:54 +0200 -------------------------------------------------
Hallo Lothar, hallo zusammen,
Am Donnerstag, 9. Juli 2020, 18:37:20 CEST schrieb Lothar:
Hallo Christian, hallo zusammen, ja super Fehler gefunden aber wegen Unfähigkeit nicht zu beseitigen.
;-)
Vielen Dank schon mal.
Im "complain -mode" funktionier alles wie es soll. Ich habe dann mal Regeln gelöscht und eingefügt. Dann mit aa-logprof apparmor upgedated. Ergebnis siehe hier
[...]
owner /home/*/.dovecot.sieve w, owner /home/*/.dovecot.sieve-new.1594300687.P21209M811901.tux rw, owner /home/*/.dovecot.sieve-new.1594300736.P21703M62435.tux rw, owner /home/*/.dovecot.sieve-new.1594301440.P28951M927662.tux rw, owner /home/*/.dovecot.sieve-new.1594302400.P13081M714233.tux rw, owner /home/*/.dovecot.sieve-new.1594303246.P695M145457.tux rw, owner /home/*/.dovecot.sieve-new.1594303416.P2128M763160.tux rw, owner /home/*/.dovecot.sieve-new.1594303423.P2159M653787.tux rw, owner /home/*/.dovecot.sieve-new.1594303451.P2464M817179.tux rw,
Die kannst Du mit einem Wildcard zusammenfassen (und damit auch künftige zufällige Dateinamen erlauben):
owner /home/*/.dovecot.sieve-new.*.tux rw,
Das ist übrigens einer der Gründe, warum mir Dovecot mit virtuellen Benutzern lieber ist - da landen solche Dateien in einem abgetrennten Mailverzeichnis statt im home. Außerdem gehören sie dann einem eigenen User und sind damit vor versehentlichen Änderungen im Homeverzeichnis geschützt - ich bin quasi zum Zugriff per IMAP etc. gezwungen. Ist aber wohl Geschmackssache ;-)
owner /home/*/sieve/ r, owner /home/*/sieve/dovecot.orig.sieve w, owner /home/*/sieve/dovecot.orig.sieve.tmp rwl, owner /home/*/sieve/mail.sieve rw, owner /home/*/sieve/tmp/ rw, owner /home/*/sieve/tmp/mail_1594300687.M808832P21209.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594300736.M59181P21703.tux.sieve rw, owner /home/*/sieve/tmp/mail_1594301292.M588150P27743.tux.sieve w, owner /home/*/sieve/tmp/mail_1594301440.M923320P28951.tux.sieve rw, [...]
Du ahnst es wohl schon:
owner /home/*/sieve/tmp/mail_*.tux.sieve w,
Kann ich da mit dem vi dran ?
Natürlich, es gibt sogar Syntax-Highlighting ;-)
Hinterher rcapparmor reload nicht vergessen.
Nach aktivieren des enforce - modus geht es dann wieder nicht .
Dann fehlt noch was - lass aa-logprof nochmal laufen und/oder wirf einen Blick ins audit.log.
Gruß
Christian Boltz
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Christian Boltz -
Lothar