Hallo, in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl: /usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg Ich kann nicht einschätzen, ob das seit der Installation von Tumbleweed so ist, oder ob das mit einem der letzten Updates eingeschleppt wurde. Aktuell ist ghostscript-9.26a-2.1.x86_64 installiert. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.03.2019 um 15:52 schrieb Thorsten Marquardt:
Hallo,
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Ich kann nicht einschätzen, ob das seit der Installation von Tumbleweed so ist, oder ob das mit einem der letzten Updates eingeschleppt wurde.
Aktuell ist ghostscript-9.26a-2.1.x86_64 installiert.
Hi, eigenartig, sieht aus wie ein Rechtefehler, oder? Was steht denn in Zeile 8 von ps2pdf, wer führt ps2pdf aus, welche Rechte hat der und welche haben /usr/bin/dirname und /bin/sh und welche shell hat der ausführende User? Irgendwas passt da nicht zusammen... Hier (noch OS11.4, eine höhere hab ich grad nicht griffbereit) kommt "dirname" in ps2pdf allerdings nicht vor... cu jth -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 06.03.19 um 07:41 schrieb Joerg Thuemmler:
Am 05.03.2019 um 15:52 schrieb Thorsten Marquardt:
Hallo,
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Ich kann nicht einschätzen, ob das seit der Installation von Tumbleweed so ist, oder ob das mit einem der letzten Updates eingeschleppt wurde.
Aktuell ist ghostscript-9.26a-2.1.x86_64 installiert.
Hi,
eigenartig, sieht aus wie ein Rechtefehler, oder? Was steht denn in Zeile 8 von ps2pdf, wer führt ps2pdf aus, welche Rechte hat der und welche haben /usr/bin/dirname und /bin/sh und welche shell hat der ausführende User? Irgendwas passt da nicht zusammen... n Hier (noch OS11.4, eine höhere hab ich grad nicht griffbereit) kommt "dirname" in ps2pdf allerdings nicht vor...
cu jth
Selbst als root bekomme ich dieselbe Antwort. Die Permissions stehen durchgehend auf 644 für die Skripten und 755 für die Verzeichnisse (/usr/bin/ und /bin). Auch an den extendet Permissons sehe ich nichts ungewöhnliches: hermes:/usr/bin # getfacl ps2p* # file: ps2pdf # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2pdf12 # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2pdf13 # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2pdf14 # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2pdfwr # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2ps # owner: root # group: root user::rwx group::r-x other::r-x # file: ps2ps2 # owner: root # group: root user::rwx group::r-x other::r-x Ich habe zu Testzwecken die Skripten nach $HOME/bin kopiert. Seltsamerweise kann ich die ps2p* von dort ohne Fehler ausführen. Thorsten -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Mittwoch, 6. März 2019, 10:11:57 CET schrieb Thorsten Marquardt:
Am 06.03.19 um 07:41 schrieb Joerg Thuemmler:
Am 05.03.2019 um 15:52 schrieb Thorsten Marquardt:
Hallo,
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Ich kann nicht einschätzen, ob das seit der Installation von Tumbleweed so ist, oder ob das mit einem der letzten Updates eingeschleppt wurde.
Aktuell ist ghostscript-9.26a-2.1.x86_64 installiert.
Hi,
eigenartig, sieht aus wie ein Rechtefehler, oder? Was steht denn in Zeile 8 von ps2pdf, wer führt ps2pdf aus, welche Rechte hat der und welche haben /usr/bin/dirname und /bin/sh und welche shell hat der ausführende User? Irgendwas passt da nicht zusammen... n Hier (noch OS11.4, eine höhere hab ich grad nicht griffbereit) kommt "dirname" in ps2pdf allerdings nicht vor...
cu jth
Selbst als root bekomme ich dieselbe Antwort. Die Permissions stehen durchgehend auf 644 für die Skripten und 755 für die Verzeichnisse (/usr/bin/ und /bin).
Auch an den extendet Permissons sehe ich nichts ungewöhnliches:
hermes:/usr/bin # getfacl ps2p* # file: ps2pdf # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2pdf12 # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2pdf13 # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2pdf14 # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2pdfwr # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2ps # owner: root # group: root user::rwx group::r-x other::r-x
# file: ps2ps2 # owner: root # group: root user::rwx group::r-x other::r-x
Ich habe zu Testzwecken die Skripten nach $HOME/bin kopiert. Seltsamerweise kann ich die ps2p* von dort ohne Fehler ausführen.
Thorsten bei seltsamen Sachen würde ich an apparmor denken. Siehe meinen thread über updatedb (vermute mal daß das auch für Tumbleweed gilt. Vielleicht hilft das ja. Viele Grüße Huo Mahr
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Dienstag, 5. März 2019, 15:52:56 CET schrieb Thorsten Marquardt:
Hallo,
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Ich kann nicht einschätzen, ob das seit der Installation von Tumbleweed so ist, oder ob das mit einem der letzten Updates eingeschleppt wurde.
Aktuell ist ghostscript-9.26a-2.1.x86_64 installiert.
Übrigens: Du bist nicht allein...... https://forums.opensuse.org/showthread.php/535205-ps2pdf-script-fail Stephan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Stephan, hallo Thorsten, hallo zusammen, Am Donnerstag, 7. März 2019, 16:57:02 CET schrieb Stephan Hemeier:
Am Dienstag, 5. März 2019, 15:52:56 CET schrieb Thorsten Marquardt:
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Du bist nicht allein...... https://forums.opensuse.org/showthread.php/535205-ps2pdf-script-fail
Das sieht nach einem AppArmor-Problem aus - auch wenn mir neu ist, dass es für ps2pdf überhaupt ein AppArmor-Profil gibt. Kannst Du bitte mal die Ausgabe von grep DENIED /var/log/audit/audit.log zeigen? Idealerweise in Form eines Bugreports ;-) - ansonsten hier oder auf paste.opensuse.org. Gruß Christian Boltz -- Arroganz? Klar, ein pikfeines Restaurant mit Kleiderordnung ist aus arrogant, Du wirst nicht gezwungen dort essen zu gehen, wenn Du keine Krawatte tragen willst. Das ist mit dieser Liste ganz genauso: Willst Du hier teilnehmen? Dann bind Dir die Krawatte um... [Andreas Loesch in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi Christian Ich hab kein Problem, ich meide eigentlich Tumbleweed wegen solch kleiner Fehler, bin noch bei Leap 15.0 Gruß Stephan Am Donnerstag, 7. März 2019, 18:06:56 CET schrieb Christian Boltz:
Hallo Stephan, hallo Thorsten, hallo zusammen,
Am Donnerstag, 7. März 2019, 16:57:02 CET schrieb Stephan Hemeier:
Am Dienstag, 5. März 2019, 15:52:56 CET schrieb Thorsten Marquardt:
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
Du bist nicht allein...... https://forums.opensuse.org/showthread.php/535205-ps2pdf-script-fail
Das sieht nach einem AppArmor-Problem aus - auch wenn mir neu ist, dass es für ps2pdf überhaupt ein AppArmor-Profil gibt.
Kannst Du bitte mal die Ausgabe von grep DENIED /var/log/audit/audit.log zeigen? Idealerweise in Form eines Bugreports ;-) - ansonsten hier oder auf paste.opensuse.org.
Gruß
Christian Boltz
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.03.19 um 18:10 schrieb Stephan Hemeier:
Hi Christian Ich hab kein Problem, ich meide eigentlich Tumbleweed wegen solch kleiner Fehler, bin noch bei Leap 15.0 Gruß Stephan
Am Donnerstag, 7. März 2019, 18:06:56 CET schrieb Christian Boltz:
Hallo Stephan, hallo Thorsten, hallo zusammen,
Am Donnerstag, 7. März 2019, 16:57:02 CET schrieb Stephan Hemeier:
Am Dienstag, 5. März 2019, 15:52:56 CET schrieb Thorsten Marquardt:
in meiner Tumbleweed 15 Installation schlägt ps2pdf mit folgenden Fehler fehl:
/usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg Du bist nicht allein...... https://forums.opensuse.org/showthread.php/535205-ps2pdf-script-fail Das sieht nach einem AppArmor-Problem aus - auch wenn mir neu ist, dass es für ps2pdf überhaupt ein AppArmor-Profil gibt.
Kannst Du bitte mal die Ausgabe von grep DENIED /var/log/audit/audit.log zeigen? Idealerweise in Form eines Bugreports ;-) - ansonsten hier oder auf paste.opensuse.org.
Gruß
Christian Boltz
Hi,
vielen Dank für den apparmor - Tipp. Da scheint die Ursache zu liegen. Laut audit.log: type=AVC msg=audit(1551983708.829:297): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd,ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2ps2}" name="/usr/bin/dirname" pid=1197 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 type=AVC msg=audit(1551983708.829:298): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd,ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2ps2}" name="/usr/bin/ps2pdf14" pid=1196 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 Gibt es irgendwo ein gutes Tutorial zur Konfiguration von AppArmor? Grüße Thorsten
Am Thu, 7 Mar 2019 19:48:07 +0100 schrieb Thorsten Marquardt <Marquardt@koehler-bracht.de>: Hallo Thorsten!
Gibt es irgendwo ein gutes Tutorial zur Konfiguration von AppArmor?
Hier: https://wiki.kairaven.de/open/os/linux/apparmor und der Security Guide zur jeweiligen Distribution Schon etwas älter, nicht mehr ganz aktuell (mittlerweile gibt es mehr und differenziertere Optionen) und ohne die Links jetzt nochmal geprüft zu haben (aber vielleicht finden sich dort unterdessen auch neuere Varianten): https://en.opensuse.org/SDB:AppArmor_geeks https://wiki.ubuntuusers.de/AppArmor/Profile_erstellen/a/revision/592542/ https://wiki.ubuntuusers.de/AppArmor/ Ansonsten die üblichen Verdächtigen: man-Pages und die Dokumentation zu den Paketen. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Thorsten, hallo zusammen, Am Donnerstag, 7. März 2019, 19:48:07 CET schrieb Thorsten Marquardt:
vielen Dank für den apparmor - Tipp. Da scheint die Ursache zu liegen. Laut audit.log:
type=AVC msg=audit(1551983708.829:297): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd, ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2p s2}" name="/usr/bin/dirname" pid=1197 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 type=AVC msg=audit(1551983708.829:298): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd, ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2p s2}" name="/usr/bin/ps2pdf14" pid=1196 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0
Ah, gefunden - das kommt von /etc/apparmor.d/usr.bin.gs (auch wenn der Name nur gs erwähnt, deckt es diverse Binaries rund um Ghostscript ab). Fürs Erste empfehle ich Dir aa-complain /etc/apparmor.d/usr.bin.gs Damit wird das Profil in den Complain-/Lernmodus versetzt, d. h. es wird alles erlaubt, aber gleichzeitig auch alles geloggt, das eigentlich[tm] nicht erlaubt wäre. Das hat gleich zwei Vorteile: - ps2pdf funktioniert erstmal wieder ;-) - /var/log/audit/audit.log wird fleißig gefüllt und kann dann zum Ergänzen des Profils und/oder für einen Bugreport genutzt werden ;-) Bevor Du Dich wunderst: Profile im Complain-Mode erzeugen Logeinträge mit ALLOWED statt DENIED. Wenn Du das Profil selbst updaten willst - aa-logprof macht das recht einfach. Für Deine DENIED-Zeilen würde ich inherit/Erben für ps2pdf und ein Kindprofil für dirname (das dann strenger ausfällt als das Hauptprofil) empfehlen. Nachdem Du das Profil in den Complain-Mode versetzt und einmal ps2pdf benutzt hast, mach bitte einen Bugreport auf und hänge /var/log/audit/audit.log an, damit das "offizielle" Profil gefixt werden kann.
Gibt es irgendwo ein gutes Tutorial zur Konfiguration von AppArmor?
Du hast ja schon einige Hinweise bekommen ;-) Ich ergänze noch um <Eigenwerbung> Ich empfehle auch immer gern meinen AppArmor Crash Course ;-) Folien: https://blog.cboltz.de/archives/70-openSUSE-Conference-2016.html Vortragsvideo: https://media.ccc.de/v/786-apparmor-crash-course </Eigenwerbung> Gruß Christian Boltz -- ah verstehe! Das wird ins RAM geschrieben und wenn das voll ist, wird auf Platte geswapt bis zum geht nicht mehr, der host fällt aus, der Herzschlag steigt, failover greift, drbd synchronisiert noch schnell mit dem Rechenzentrum in Atlantic-City und zu guter letzt schreibt round ro- bin seine Info auf Diskette. Alles klar ;) [Andreas Meyer in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo zusammen, vielen Dank für Eure Hilfe Am 07.03.19 um 22:05 schrieb Christian Boltz:
Hallo Thorsten, hallo zusammen, [...] Fürs Erste empfehle ich Dir aa-complain /etc/apparmor.d/usr.bin.gs
Damit komme ich erst einmal weiter bis ich die Tutorial gelesen (und hoffentlich verstanden) habe. Viele Grüße Thorsten
On Fri, Mar 08, 2019 at 03:05:04PM +0100, Thorsten Marquardt wrote:
Hallo zusammen,
vielen Dank für Eure Hilfe
Am 07.03.19 um 22:05 schrieb Christian Boltz:
Hallo Thorsten, hallo zusammen, [...] Fürs Erste empfehle ich Dir aa-complain /etc/apparmor.d/usr.bin.gs
Damit komme ich erst einmal weiter bis ich die Tutorial gelesen (und hoffentlich verstanden) habe.
Hi, Wir (SUSE Security) haben vor kurzem AppArmor fuer ghostscript angeschaltet um den Security Impact von ghostscript Problemen zu reduzieren und suchen derzeit das Feedback, wie obiges hier. Falls Probleme gefunden werden, bitte Bugs aufmachen! https://bugzilla.suse.com/show_bug.cgi?id=1128467 gibts es zb. Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi, Am 09.03.19 um 14:36 schrieb Marcus Meissner:
On Fri, Mar 08, 2019 at 03:05:04PM +0100, Thorsten Marquardt wrote:
Hallo zusammen,
vielen Dank für Eure Hilfe
Am 07.03.19 um 22:05 schrieb Christian Boltz:
Hallo Thorsten, hallo zusammen, [...] Fürs Erste empfehle ich Dir aa-complain /etc/apparmor.d/usr.bin.gs Damit komme ich erst einmal weiter bis ich die Tutorial gelesen (und hoffentlich verstanden) habe. Hi,
Wir (SUSE Security) haben vor kurzem AppArmor fuer ghostscript angeschaltet um den Security Impact von ghostscript Problemen zu reduzieren und suchen derzeit das Feedback, wie obiges hier.
Falls Probleme gefunden werden, bitte Bugs aufmachen!
https://bugzilla.suse.com/show_bug.cgi?id=1128467 gibts es zb.
Ciao, Marcus
da gibt es bereits einen ähnlichen Eintrag für dvipdf. https://bugzilla.suse.com/show_bug.cgi?id=1127934 Sind weitere Reports zu diesem Thema sinnvoll? Grüße Thorsten
Hallo Thorsten, hallo zusammen, Am Montag, 11. März 2019, 10:01:24 CET schrieb Thorsten Marquardt:
Am 09.03.19 um 14:36 schrieb Marcus Meissner:
Wir (SUSE Security) haben vor kurzem AppArmor fuer ghostscript angeschaltet um den Security Impact von ghostscript Problemen zu reduzieren und suchen derzeit das Feedback, wie obiges hier.
Falls Probleme gefunden werden, bitte Bugs aufmachen!
https://bugzilla.suse.com/show_bug.cgi?id=1128467 gibts es zb.
da gibt es bereits einen ähnlichen Eintrag für dvipdf.
https://bugzilla.suse.com/show_bug.cgi?id=1127934
Sind weitere Reports zu diesem Thema sinnvoll?
In Deiner Ursprungsmail stand /usr/bin/ps2pdf: Zeile 8: /usr/bin/dirname: Keine Berechtigung Das taucht bisher noch in keinem Bugreport auf, daher - ja, ein weiterer Bugreport ist sinnvoll ;-) Theoretisch[tm] sollten folgende zusätzlichen Zeilen im AppArmor-Profil helfen (zusätzlich zu https://bugzilla.suse.com/show_bug.cgi?id=1127934#c9) /usr/bin/dirname Cx, profile /usr/bin/dirname { #include <abstractions/base> /usr/bin/dirname mr, } Danach "rcapparmor reload" ausführen und berichten, ob es reicht oder ob Du weitere Fehlermeldungen (idealerweise in Form von audit.log-Zeilen) siehst. Eine weitere Zeile aus Deiner Ursprungsmail ist: /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung Das wurde IIRC inzwischen gefixt, teste also nochmal mit dem aktuellen Paket. Gruß Christian Boltz --
[qpopper] Jepp. Den einzurichten, dauert max. 10 Min. Und ist absolut pflegeleicht. ;) Hm... womit verbringst Du denn die letzten neun Minuten? Oder kommt hier ein 286er zum Einsatz? [> Michael Raab und Andreas Feile in suse-linux]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Moin Christian, Am 11.03.19 um 10:31 schrieb Christian Boltz:
[...]
Theoretisch[tm] sollten folgende zusätzlichen Zeilen im AppArmor-Profil helfen (zusätzlich zu https://bugzilla.suse.com/show_bug.cgi?id=1127934#c9)
/usr/bin/dirname Cx,
profile /usr/bin/dirname { #include <abstractions/base> /usr/bin/dirname mr, }
Danach "rcapparmor reload" ausführen und berichten, ob es reicht oder ob Du weitere Fehlermeldungen (idealerweise in Form von audit.log-Zeilen) siehst.
ich hoffe, dass ich Dich richtig verstanden habe. Das Profil sieht jetzt so aus: #include <tunables/global> # this profile is mainly intended to prevent easy exploitation of # issues in ghostscript. This is mainly intended as a hardening # measure and doesn't alleviate the need for regular updates profile /usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd,ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2ps2} { #include <abstractions/base> #include <abstractions/consoles> #include <abstractions/nameservice> #include <abstractions/X> # needed to read gc/write pdfs/eps/.. everywhere /** wr, /usr/bin/basename Cx, /usr/bin/dvips mrix, /usr/bin/gs mrix, /usr/lib64/ghostscript/** m, /usr/lib64/libgs.so.* m, /usr/lib64/libijs-* m, profile /usr/bin/basename { #include <abstractions/base> /usr/bin/basename mr, } /usr/bin/dirname Cx, profile /usr/bin/dirname { #include <abstractions/base> /usr/bin/dirname mr, } } Aber nach "rcapparmor reload" und ps2pdf: # ps2pdf /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg und: # cat /var/log/audit/audit.log type=AVC msg=audit(1552299400.983:173549): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd,ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2ps2}" name="/usr/bin/ps2pdf14" pid=6339 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0 Grüße Thorsten
Hallo Thorsten, hallo zusammen, Am Montag, 11. März 2019, 11:22:56 CET schrieb Thorsten Marquardt:
ich hoffe, dass ich Dich richtig verstanden habe. Das Profil sieht jetzt so aus: [...]
Passt.
Aber nach "rcapparmor reload" und ps2pdf:
# ps2pdf /usr/bin/ps2pdf: /usr/bin/ps2pdf14: /bin/sh: Defekter Interpreter: Keine Berechtigung /usr/bin/ps2pdf: Zeile 12: /usr/bin/ps2pdf14: Erfolg
und:
# cat /var/log/audit/audit.log type=AVC msg=audit(1552299400.983:173549): apparmor="DENIED" operation="exec" profile="/usr/bin/{dvipdf,eps2eps,gs,gsbj,gsdj,gsdj500,gslj,gslp,gsnd, ps2ascii,ps2epsi,ps2pdf,ps2pdf12,ps2pdf13,ps2pdf14,ps2pdfwr,ps2ps,ps2p s2}" name="/usr/bin/ps2pdf14" pid=6339 comm="ps2pdf" requested_mask="x" denied_mask="x" fsuid=0 ouid=0
Du brauchst zusätzlich noch /usr/bin/ps2pdf14 ix, Ich war mal so frei, die bisherigen Ergänzungen als https://bugzilla.opensuse.org/show_bug.cgi?id=1128697 festzuhalten. Falls es immer noch (woanders) klemmt, schalte das Profil mit aa-complain in den complain-mode (siehe ein paar Mails weiter oben) und liefere dann die ALLOWED-Zeilen aus dem audit.log. Gruß Christian Boltz -- "Microsoft spel chekar worgs grate!" -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Moin Christina, moin @ all, Am 11.03.19 um 11:56 schrieb Christian Boltz:
Du brauchst zusätzlich noch /usr/bin/ps2pdf14 ix,
das allein war es noch nicht. Ich hab zusätzlich noch: /usr/bin/ps2pdfwr ix, eingefügt und jetzt ist Ruhe im Karton. Mein vollständiges Profil ist im Anhang.
Ich war mal so frei, die bisherigen Ergänzungen als https://bugzilla.opensuse.org/show_bug.cgi?id=1128697 festzuhalten.
Auch hierfür vielen Dank. Ich hatte in der Zwischenzeit versucht selbst einen Case zu öffnen hab aber die Funktionsweise von bugzilla noch nicht so ganz verstanden. Viele Grüße Thorsten
Hallo Thorsten, hallo zusammen, Am Montag, 11. März 2019, 12:38:40 CET schrieb Thorsten Marquardt:
Am 11.03.19 um 11:56 schrieb Christian Boltz:
Du brauchst zusätzlich noch
/usr/bin/ps2pdf14 ix,
das allein war es noch nicht. Ich hab zusätzlich noch:
/usr/bin/ps2pdfwr ix,
eingefügt und jetzt ist Ruhe im Karton. Mein vollständiges Profil ist im Anhang.
Kann es sein, dass Du eine falsche oder veraltete Datei angehängt hast? Das Profil sieht im Wesentlichen nach dem Original-Profil _ohne_ die nötigen Ergänzungen aus. Einzige Änderung ist flags=(audit), was dazu führt, dass Dein audit.log *sehr schnell* wachsen wird. (Im audit mode wird *alles* geloggt, auch wenn es im Profil erlaubt wird.)
Ich war mal so frei, die bisherigen Ergänzungen als https://bugzilla.opensuse.org/show_bug.cgi?id=1128697 festzuhalten.
Auch hierfür vielen Dank. Ich hatte in der Zwischenzeit versucht selbst einen Case zu öffnen hab aber die Funktionsweise von bugzilla noch nicht so ganz verstanden.
So schwer ist Bugzilla eigentlich[tm] nicht [1] - die Kurzfassung ist: - zu bugzilla.opensuse.org gehen - einloggen - auf "New" klicken - "openSUSE Tumbleweed" bzw. für Leap "openSUSE Distribution" auswählen - passende "Component" und "Version" auswählen - Summary und Inhalt des Bugreports eingeben - "Submit Bug" klicken - fertig :-) Der Vollständigkeit halber: Hinter "Show Advanced Fields" versteckt sich noch eine Reihe weiterer Felder, aber die kannst und darfst Du gern ignorieren ;-) Gruß Christian Boltz PS: Zufallssignatur, auch wenn sie thematisch mal wieder gut passt ;-) [1] Ich weiß, dass ich das als "alter Hase" mit einer vierstelligen Anzahl Bugreports leicht sagen kann ;-) -- There should be a send beer button somewhere in the bug tracker. [strahlex in https://github.com/openSUSE/software-o-o/issues/28] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hi, Am 11.03.19 um 20:39 schrieb Christian Boltz:
Kann es sein, dass Du eine falsche oder veraltete Datei angehängt hast? Das Profil sieht im Wesentlichen nach dem Original-Profil _ohne_ die nötigen Ergänzungen aus.
Einzige Änderung ist flags=(audit), was dazu führt, dass Dein audit.log *sehr schnell* wachsen wird. (Im audit mode wird *alles* geloggt, auch wenn es im Profil erlaubt wird.)
au wei, da will man einmal clever sein... die richtige Datei ist jetzt im Anhang.
Ich war mal so frei, die bisherigen Ergänzungen als https://bugzilla.opensuse.org/show_bug.cgi?id=1128697 festzuhalten. Auch hierfür vielen Dank. Ich hatte in der Zwischenzeit versucht selbst einen Case zu öffnen hab aber die Funktionsweise von bugzilla noch nicht so ganz verstanden. So schwer ist Bugzilla eigentlich[tm] nicht [1] - die Kurzfassung ist:
Ich hab zuerst https://bugzilla.opensuse.org/docs/en/html/bugreports.html#fillingbugs gelesen und dann den Link “Enter a new bug report”auf der Startseite gesucht ... Grüße Thorsten
Hallo zusammen, Am Dienstag, 12. März 2019, 11:44:57 CET schrieb Thorsten Marquardt:
Am 11.03.19 um 20:39 schrieb Christian Boltz:
Kann es sein, dass Du eine falsche oder veraltete Datei angehängt hast? Das Profil sieht im Wesentlichen nach dem Original-Profil _ohne_ die nötigen Ergänzungen aus.
die richtige Datei ist jetzt im Anhang.
;-) Sieht fast richtig aus. "Fast", weil Du einen überflüssigen Abschnitt eingebaut hast. Die Regel für ps2pdfwr is "ix", also "inherit" - und das heißt, dass ps2pdfwr unter dem Hauptprofil läuft. Deswegen ist das Kindprofil für ps2pdfwr überflüssig. Das tut nicht weh, es ist "nur" unbenutzt und belegt ein paar Byte im RAM ;-)
Ich war mal so frei, die bisherigen Ergänzungen als https://bugzilla.opensuse.org/show_bug.cgi?id=1128697 festzuhalten.
Auch hierfür vielen Dank. Ich hatte in der Zwischenzeit versucht selbst einen Case zu öffnen hab aber die Funktionsweise von bugzilla noch nicht so ganz verstanden.
So schwer ist Bugzilla eigentlich[tm] nicht [1] - die Kurzfassung
Ich hab zuerst https://bugzilla.opensuse.org/docs/en/html/bugreports.html#fillingbugs gelesen und dann den Link “Enter a new bug report”auf der Startseite gesucht ...
Hast Du ernsthaft erwartet, dass die Doku wörtlich mit der Realität übereinstimmt? Optimist! ;-))) Gruß Christian Boltz -- Please resolve this as NOT A BUG and USER SHOULD HAVE MORE COFFEE BEFORE FILING BUGS. I apologize for taking up valuable developer time! [Jon Nelson in https://bugzilla.novell.com/show_bug.cgi?id=776271#c2] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Christian Boltz -
Hugo -
Joerg Thuemmler -
Marcus Meissner -
Matthias -
Stephan Hemeier -
Thorsten Marquardt