Samba, Papierkorb + AppArmor
Hallo, vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen. Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen. Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log": type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0 Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss? -- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Tao, hallo Leute, Am Samstag, 22. Oktober 2011 schrieb Tao te Puh:
vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen.
Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen.
Bis eben wusste ich nichtmal, dass es sowas überhaupt gibt ;-) und Du bist scheinbar der Erste, der diese Option nutzt - zumindest habe ich dafür noch keinen Bugreport fürs AppArmor-Profils gesehen.
Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log":
type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss?
Ganz einfach - als root aa-logprof aufrufen ;-) Das schlägt Dir vermutlich eine Zeile /usr/lib/samba/vfs/recycle.so mr, vor. Da es im gleichen Verzeichnis noch mehr VFS-Module gibt, drückst Du am Besten einmal e um die Regel zu /usr/lib/samba/vfs/*.so mr, zu ändern. Dann noch a für allow und das Profil speichern - fertig. Der Vollständigkeit halber: im offiziellen Profil werde ich /usr/lib*/samba/vfs/*.so mr, verwenden, damit es auch auf 64bit-Systemen (mit /usr/lib64/...) funktioniert. Die Frage ist, was mit den anderen Dateien in /usr/lib*/samba ist - ich hoffe, dass Lars mir darauf bald eine Antwort in Bugzilla einträgt ;-) https://bugzilla.novell.com/show_bug.cgi?id=725967 Gruß Christian Boltz --
Es steht dir frei, dich auch auszutragen, damit du von Idioten wie David, Thorsten, Bernd, ... nicht weiter belästigt wirst. Und ich gehöre da nicht mehr dazu? [> Matthias Houdek und Florian Gross in suse-linux]
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Christian, zunächst mal herzlichen Dank für Deine schnelle Reaktion, den Bug-Report (ich tue mich da nämlich immer sehr schwer mit) und den Fakt, dass Du mich dort auch gleich mal als "Observer" eingetragen hast. Am 22.10.2011 20:29, schrieb Christian Boltz:
Hallo Tao, hallo Leute,
Am Samstag, 22. Oktober 2011 schrieb Tao te Puh:
vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen.
Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen.
Bis eben wusste ich nichtmal, dass es sowas überhaupt gibt ;-) und Du bist scheinbar der Erste, der diese Option nutzt - zumindest habe ich dafür noch keinen Bugreport fürs AppArmor-Profils gesehen.
Na endlich bin ich mal in irgendwas der Erste ... Blöd nur, dass auch dieses Neuland gleich mal vermient war ...
Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log":
type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss?
Ganz einfach - als root aa-logprof aufrufen ;-)
Apropos ganz einfach: Bei mir schaut der Aufruf von aa-logprof so aus: ---------------------------------------- Lese Protokolleinträge von /var/log/audit/audit.log. AppArmor-Profile in /etc/apparmor.d werden aktualisiert. Änderungen im Erzwingungs-Modus: Profil: /bin/ping Pfad: /var/lib/samba/gencache.tdb Modus: rw Schweregrad: Unbekannt 1 - #include <abstractions/authentication> 2 - #include <abstractions/samba> 3 - #include <abstractions/smbpass> [4 - /var/lib/samba/gencache.tdb] (A)llow / [(D)eny] / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts ---------------------------------------- Dabei geht es offensichtlich um eine andere Regelverletzung, aber wie überspringt ich die und wie gelange ich zu der um die es geht (Eine Option "Next" wäre intuitiv)? Ich will ja nicht einfach allem zustimmen oder ablehnen. Nachher zerkonfiguriere ich mir AppArmor und habe einen zahnlosen Tiger am Start oder eben Zerberus und es funktioniert überhaupt nix mehr ...
Das schlägt Dir vermutlich eine Zeile /usr/lib/samba/vfs/recycle.so mr, vor.
Da es im gleichen Verzeichnis noch mehr VFS-Module gibt, drückst Du am Besten einmal e um die Regel zu /usr/lib/samba/vfs/*.so mr, zu ändern.
Dann noch a für allow und das Profil speichern - fertig.
Der Vollständigkeit halber: im offiziellen Profil werde ich /usr/lib*/samba/vfs/*.so mr, verwenden, damit es auch auf 64bit-Systemen (mit /usr/lib64/...) funktioniert.
Die Frage ist, was mit den anderen Dateien in /usr/lib*/samba ist - ich hoffe, dass Lars mir darauf bald eine Antwort in Bugzilla einträgt ;-) https://bugzilla.novell.com/show_bug.cgi?id=725967
Gruß
Christian Boltz
-- Herzliche Grüße Tao -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Tao, hallo Leute, Am Sonntag, 23. Oktober 2011 schrieb Tao te Puh:
zunächst mal herzlichen Dank für Deine schnelle Reaktion, den Bug-Report (ich tue mich da nämlich immer sehr schwer mit) und den Fakt, dass Du mich dort auch gleich mal als "Observer" eingetragen hast.
Am 22.10.2011 20:29, schrieb Christian Boltz:
Am Samstag, 22. Oktober 2011 schrieb Tao te Puh:
vor kurzem hatte ich ja schon einmal Probleme mit Samba und AppArmor - heute ist ein weiteres Problem hinzugekommen.
Ich möchte gerne die "Papierkorb-Funktionalität" von Samba in Betrieb nehmen.
Bis eben wusste ich nichtmal, dass es sowas überhaupt gibt ;-) und Du bist scheinbar der Erste, der diese Option nutzt - zumindest habe ich dafür noch keinen Bugreport fürs AppArmor-Profils gesehen. Na endlich bin ich mal in irgendwas der Erste ... Blöd nur, dass auch dieses Neuland gleich mal vermient war ...
;-)
Aber leider spielt AppArmor "mal wieder" nicht mit und so erhalte ich, bei dem Versuch mit einem Windowsklienten auf die Freigabe zuzugreifen, folgende Fehlermeldung in "audit.log":
type=AVC msg=audit(1319301247.814:209): apparmor="DENIED" operation="file_mmap" parent=13681 profile="/usr/sbin/smbd" name="/usr/lib/samba/vfs/recycle.so" pid=13744 comm="smbd" requested_mask="m" denied_mask="m" fsuid=0 ouid=0
Kann mir jemand sagen wie ich diesmal das Profil von AppArmor erweitern muss?
Ganz einfach - als root aa-logprof aufrufen ;-)
Apropos ganz einfach: Bei mir schaut der Aufruf von aa-logprof so aus:
---------------------------------------- Lese Protokolleinträge von /var/log/audit/audit.log. AppArmor-Profile in /etc/apparmor.d werden aktualisiert. Änderungen im Erzwingungs-Modus:
Profil: /bin/ping Pfad: /var/lib/samba/gencache.tdb Modus: rw Schweregrad: Unbekannt
1 - #include <abstractions/authentication> 2 - #include <abstractions/samba> 3 - #include <abstractions/smbpass> [4 - /var/lib/samba/gencache.tdb]
(A)llow / [(D)eny] / (G)lob / Glob w/(E)xt / (N)ew / Abo(r)t / (F)inish / (O)pts ----------------------------------------
Dabei geht es offensichtlich um eine andere Regelverletzung, aber wie überspringt ich die und wie gelange ich zu der um die es geht
Auf die lange Bank schieben geht nicht ;-) Entweder mit _a_llow erlauben oder mit _d_eny verbieten. Deny schreibt eine entsprechende Regel ins Profil - die entsprechende Aktion wird also dauerhaft verboten. Aber: Dein Ausschnitt von aa-logprof sieht _sehr_ komisch aus - warum sollte ping Schreibrechte auf die Datei in /var/lib/samba/gencache.tdb wollen? Kannst Du das reproduzieren? Wenn ja, schick mir bitte Deine komplette /var/log/audit/audit.log (per PM) - ich würde mir das gern mal genauer ansehen. Bitte auch eine Info dazupacken, welche AppArmor-Version Du einsetzt (rpm -q apparmor-utils).
(Eine Option "Next" wäre intuitiv)?
Ich würde sie eher "skip" nennen. Ich rege das mal upstream an. Gruß Christian Boltz -- Bei mir war es dann doch sinnvoller, bei dem nicht funktionierenden Laufwerk (Scheiss Linux! Scheiss Yast! Scheiss Suse! Alles Scheisse!)...ähem... den IDE-Stecker auch wirklich reinzustecken (Scheiss Ratti....) :-)) [Ratti in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (2)
-
Christian Boltz -
Tao te Puh