dovecot will nicht mehr starten
Moin, Seit dem update gestern morgen will auf meinem Rechner dovecot nicht starten: Mar 05 11:13:56 server systemd[1]: Started Dovecot IMAP/POP3 email server. Mar 05 11:13:57 server dovecot[9974]: Can't open log file /var/log/dovecot_debug: Permission denied Mar 05 11:13:57 server systemd[1]: dovecot.service: main process exited, code=exited, status=80/n/a Mar 05 11:13:57 server systemd[1]: Unit dovecot.service entered failed state. Das File ist da, gehört dovenull:root und hat die permission 666 - mir fällt nur noch dieses AppArmor Zeugs ein, das hier rumpfuscht. a) wie kann ich das "einfach" prüfen b) wie beheben (OK; AppArmor deinstallieren geht natürlich) Die Changes von gestern waren: 2014-03-04 09:08:57|install|libudev1|208-19.1|x86_64 2014-03-04 09:09:00|install|systemd-32bit|208-19.1|x86_64 2014-03-04 09:09:58|install|udev|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd|208-19.1|x86_64 2014-03-04 09:10:07|install|libgudev-1_0-0|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd-sysvinit|208-19.1|x86_64 2014-03-04 09:10:57|install|lvm2|2.02.98-0.28.14.1|x86_64 Das ist aber nix mit AppArmor dabei :-( Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE:
Moin,
Seit dem update gestern morgen will auf meinem Rechner dovecot nicht starten:
Mar 05 11:13:56 server systemd[1]: Started Dovecot IMAP/POP3 email server. Mar 05 11:13:57 server dovecot[9974]: Can't open log file /var/log/dovecot_debug: Permission denied Mar 05 11:13:57 server systemd[1]: dovecot.service: main process exited, code=exited, status=80/n/a Mar 05 11:13:57 server systemd[1]: Unit dovecot.service entered failed state.
Das File ist da, gehört dovenull:root und hat die permission 666 - mir fällt nur noch dieses AppArmor Zeugs ein, das hier rumpfuscht.
a) wie kann ich das "einfach" prüfen b) wie beheben (OK; AppArmor deinstallieren geht natürlich)
Die Changes von gestern waren: 2014-03-04 09:08:57|install|libudev1|208-19.1|x86_64 2014-03-04 09:09:00|install|systemd-32bit|208-19.1|x86_64 2014-03-04 09:09:58|install|udev|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd|208-19.1|x86_64 2014-03-04 09:10:07|install|libgudev-1_0-0|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd-sysvinit|208-19.1|x86_64 2014-03-04 09:10:57|install|lvm2|2.02.98-0.28.14.1|x86_64
Stop mal AppArmor und starte dann Dovecot neu. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Andreas Ernst wrote:
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE:
Moin,
Seit dem update gestern morgen will auf meinem Rechner dovecot nicht starten:
Mar 05 11:13:56 server systemd[1]: Started Dovecot IMAP/POP3 email server. Mar 05 11:13:57 server dovecot[9974]: Can't open log file /var/log/dovecot_debug: Permission denied Mar 05 11:13:57 server systemd[1]: dovecot.service: main process exited, code=exited, status=80/n/a Mar 05 11:13:57 server systemd[1]: Unit dovecot.service entered failed state.
Das File ist da, gehört dovenull:root und hat die permission 666 - mir fällt nur noch dieses AppArmor Zeugs ein, das hier rumpfuscht.
a) wie kann ich das "einfach" prüfen b) wie beheben (OK; AppArmor deinstallieren geht natürlich)
Die Changes von gestern waren: 2014-03-04 09:08:57|install|libudev1|208-19.1|x86_64 2014-03-04 09:09:00|install|systemd-32bit|208-19.1|x86_64 2014-03-04 09:09:58|install|udev|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd|208-19.1|x86_64 2014-03-04 09:10:07|install|libgudev-1_0-0|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd-sysvinit|208-19.1|x86_64 2014-03-04 09:10:57|install|lvm2|2.02.98-0.28.14.1|x86_64
Stop mal AppArmor und starte dann Dovecot neu.
Hab ich - und dovecot startet. (ich hatte ja bereits in einer anderen Antwort geschrieben, das dovecot noch viel mehr Fehler meldet) Was ich mich immer noch frage: a) Warum ging es vorher? b) Gibt es nur die Alternative "apparmor" oder "dovecot"? Ist irgendwie ... blöd Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.03.14 12:38, schrieb Kyek, Andreas, Vodafone DE:
Andreas Ernst wrote:
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE:
Moin,
Seit dem update gestern morgen will auf meinem Rechner dovecot nicht starten:
Mar 05 11:13:56 server systemd[1]: Started Dovecot IMAP/POP3 email server. Mar 05 11:13:57 server dovecot[9974]: Can't open log file /var/log/dovecot_debug: Permission denied Mar 05 11:13:57 server systemd[1]: dovecot.service: main process exited, code=exited, status=80/n/a Mar 05 11:13:57 server systemd[1]: Unit dovecot.service entered failed state.
Das File ist da, gehört dovenull:root und hat die permission 666 - mir fällt nur noch dieses AppArmor Zeugs ein, das hier rumpfuscht.
a) wie kann ich das "einfach" prüfen b) wie beheben (OK; AppArmor deinstallieren geht natürlich)
Die Changes von gestern waren: 2014-03-04 09:08:57|install|libudev1|208-19.1|x86_64 2014-03-04 09:09:00|install|systemd-32bit|208-19.1|x86_64 2014-03-04 09:09:58|install|udev|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd|208-19.1|x86_64 2014-03-04 09:10:07|install|libgudev-1_0-0|208-19.1|x86_64 2014-03-04 09:10:07|install|systemd-sysvinit|208-19.1|x86_64 2014-03-04 09:10:57|install|lvm2|2.02.98-0.28.14.1|x86_64
Stop mal AppArmor und starte dann Dovecot neu.
Hab ich - und dovecot startet. (ich hatte ja bereits in einer anderen Antwort geschrieben, das dovecot noch viel mehr Fehler meldet)
Was ich mich immer noch frage:
a) Warum ging es vorher? b) Gibt es nur die Alternative "apparmor" oder "dovecot"? Ist irgendwie ... blöd
IIRC, ging das noch nie. Ich mußte immer AppArmor töten, sonst geht nix. Ich hatte immer Probleme damit. Was mich wundert, dass das immer noch nicht geht. Selbst mit der 13.1 funktioniert es nicht. -- ae | Andreas Ernst | IT Spektrum Postfach 5, 65612 Beselich Schupbacher Str. 32, 65614 Beselich, Germany Tel: +49-6484-91002 Fax: +49-6484-91003 ae@ae-online.de | www.ae-online.de www.tachyon-online.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Andreas, hallo Leute, Am Mittwoch, 5. März 2014 schrieb Andreas Ernst:
Am 05.03.14 12:38, schrieb Kyek, Andreas, Vodafone DE:
Andreas Ernst wrote:
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE:
[Kammquoting repariert]
Seit dem update gestern morgen will auf meinem Rechner dovecot nicht starten: Mar 05 11:13:56 server systemd[1]: Started Dovecot IMAP/POP3 email server. Mar 05 11:13:57 server dovecot[9974]: Can't open log file /var/log/dovecot_debug: Permission denied Mar 05 11:13:57 server systemd[1]: dovecot.service: main process exited, code=exited, status=80/n/a Mar 05 11:13:57 server systemd[1]: Unit dovecot.service entered failed state.
Das File ist da, gehört dovenull:root und hat die permission 666 - mir fällt nur noch dieses AppArmor Zeugs ein, das hier rumpfuscht.
a) wie kann ich das "einfach" prüfen b) wie beheben (OK; AppArmor deinstallieren geht natürlich)
Stop mal AppArmor und starte dann Dovecot neu.
Hab ich - und dovecot startet. (ich hatte ja bereits in einer anderen Antwort geschrieben, das dovecot noch viel mehr Fehler meldet)
Was ich mich immer noch frage:
a) Warum ging es vorher?
Gute Frage, die von Dir aufgelisteten Updates dürften jedenfalls nichts damit zu tun haben.
b) Gibt es nur die Alternative "apparmor" oder "dovecot"? Ist irgendwie ... blöd
Ja, gibt es. AppArmor wieder aktivieren ("rcapparmor start") und in den Lernmodus versetzen: aa-complain /etc/apparmor.d/*dovecot* Der Lernmodus ("complain mode") erlaubt erstmal alles (es wird also nichts mehr geblockt und Dovecot wird funktionieren), schreibt aber fleißig ins Logfile, was laut AppArmor-Profil nicht erlaubt wäre. Danach Dovecot neu starten. Wenn Dovecot dann einige Zeit gelaufen ist, schickst Du mir a) /var/log/audit/audit.log - falls Du auditd laufen hast oder b) grep -i apparmor /var/log/messages oder c) falls Du nur das sytemd-journal verwendest, journalctl -b | grep -i apparmor Am liebsten ist mir ein "offizieller" Bugreport (Component "AppArmor" im Bugzilla), per Mail geht aber ausnahmsweise ;-) auch. Wie es weitergeht, sage ich Dir, sobald ich Dein Log sehe ;-) Wenn Dovecot die Mails an einer ungewöhnlichen[tm] Stelle speichern soll, reicht schon eine Anpassung in /etc/apparmor.d/tunables/dovecot und ein rcapparmor reload Du kannst die AppArmor-Profile auch selbst mit aa-logprof aktualisieren (und hinterher mit aa-enforce wieder "scharf schalten"), für die offiziellen Profile bevorzuge ich aber einen Blick aufs Log.
IIRC, ging das noch nie. Ich mußte immer AppArmor töten, sonst geht nix. Ich hatte immer Probleme damit.
Was mich wundert, dass das immer noch nicht geht. Selbst mit der 13.1 funktioniert es nicht.
Kann nicht sein - ich habe keinen Bugreport dazu gesehen ;-) (und ich _will_ Bugreports, wenn irgendwas wegen AppArmor nicht geht) BTW: Bis einschließlich 12.3 war das ein known bug, weil niemand das Dovecot-Profil für Dovecot 2.x aktualisiert hat. Für 13.1 habe ich das dann selbst gemacht (ging kurz nach dem Release als Update raus), von daher müsste es eigentlich[tm] funktionieren. [1] Je nach Konfiguration kann es natürlich vorkommen, dass die AppArmor- Profile doch nicht ganz passen [3]. Das kann ich aber nur beheben, wenn ich davon weiß ;-) Gruß Christian Boltz [1] Falls jemand die aktuellen Dovecot-Profile auf der 12.3 einsetzen will, einfach apparmor-profiles aus dem security:apparmor Repo [2] installieren. Als Update für 12.3 will ich diese Profile nicht raushauen - die 12.3 ist inzwischen ein Jahr alt, da sollte man größere Änderungen per Update vermeiden ;-) [2] Dort gibt es demnächst[tm] auch AppArmor 2.9, sobald es verfügbar ist - wer also nur die Dovecot-Profile will, sollte das Repo anschließend wieder deaktivieren. Die 2.8.x-Pakete bleiben weiterhin verfügbar, allerdings wird YaST bzw. zypper die 2.9er bevorzugt vorschlagen. [3] Dovecot ist ja doch "etwas" größer und konfigurierbarer als z. B. ping oder nscd;-) -- UX stands for "User Experience" and that is modern term for "usability". Everyone, except insiders, has to perform two translations, UX to user experience and then to usability. That appears more like road bump then usability improvement :) [Rajko M. in opensuse-project] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Christian Boltz wrote:
Hallo Andreas, hallo Leute,
[...]
Ja, gibt es. AppArmor wieder aktivieren ("rcapparmor start") und in den Lernmodus versetzen: aa-complain /etc/apparmor.d/*dovecot* Der Lernmodus ("complain mode") erlaubt erstmal alles (es wird also nichts mehr geblockt und Dovecot wird funktionieren), schreibt aber fleißig ins Logfile, was laut AppArmor-Profil nicht erlaubt wäre.
Danach Dovecot neu starten.
Wenn Dovecot dann einige Zeit gelaufen ist, schickst Du mir a) /var/log/audit/audit.log - falls Du auditd laufen hast oder b) grep -i apparmor /var/log/messages oder c) falls Du nur das sytemd-journal verwendest, journalctl -b | grep -i apparmor
Am liebsten ist mir ein "offizieller" Bugreport (Component "AppArmor" im Bugzilla), per Mail geht aber ausnahmsweise ;-) auch.
Wie es weitergeht, sage ich Dir, sobald ich Dein Log sehe ;-)
Nur kurz z. Info. Mach ich - kann aber etwas dauern (1 Tag o.ä.) Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Christian Boltz wrote:
Hallo Andreas, hallo Leute,
Am Mittwoch, 5. März 2014 schrieb Andreas Ernst:
Am 05.03.14 12:38, schrieb Kyek, Andreas, Vodafone DE:
Andreas Ernst wrote:
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE:
[Kammquoting repariert]
Das werde ich in diesem Leben Outlook nicht mehr beibringen:-( [...]
b) Gibt es nur die Alternative "apparmor" oder "dovecot"? Ist irgendwie ... blöd
Ja, gibt es. AppArmor wieder aktivieren ("rcapparmor start") und in den Lernmodus versetzen: aa-complain /etc/apparmor.d/*dovecot* Der Lernmodus ("complain mode") erlaubt erstmal alles (es wird also nichts mehr geblockt und Dovecot wird funktionieren), schreibt aber fleißig ins Logfile, was laut AppArmor-Profil nicht erlaubt wäre.
Danach Dovecot neu starten.
Done
Wenn Dovecot dann einige Zeit gelaufen ist, schickst Du mir a) /var/log/audit/audit.log - falls Du auditd laufen hast oder b) grep -i apparmor /var/log/messages oder c) falls Du nur das sytemd-journal verwendest, journalctl -b | grep -i apparmor^
Am liebsten ist mir ein "offizieller" Bugreport (Component "AppArmor" im Bugzilla), per Mail geht aber ausnahmsweise ;-) auch.
Wie es weitergeht, sage ich Dir, sobald ich Dein Log sehe ;-)
Wenn Dovecot die Mails an einer ungewöhnlichen[tm] Stelle speichern soll, reicht schon eine Anpassung in /etc/apparmor.d/tunables/dovecot und ein rcapparmor reload
Dieser Tip[p] hat schon mal sehr weitergeholfen - es hat viel gebracht mein IMAP FS /local/mail hier zu aktivieren. Damit waren "fast alle" Meldungen auf einen Schlag weg. Es bleibt noch die Meldung zu "/var/log/dovecot_debug". Hierzu habe ich mir das Original-rpm runtergeladen; in der originalen conf.d/10-logging.conf ist überhaupt kein debug_log_path eingetragen; den habe ich wohl "damals" bei den Konfigurationsversuchen selber gebraucht. Wenn man das nun zusammen nimmt ergibt sich: a) mir fehlte die Info wo mein mail-Storage konfiguriert wird b) "mein" debug_log_path war/ist bei apparmor nicht bekannt.
Du kannst die AppArmor-Profile auch selbst mit aa-logprof aktualisieren (und hinterher mit aa-enforce wieder "scharf schalten"), für die offiziellen Profile bevorzuge ich aber einen Blick aufs Log.
Ist hier nun wieder scharf geschaltet; das debug file ist (wie im Originalfile) auskommentiert; damit läuft dovecot wieder mit AppArmor. Danke für deine Hilfe. Für evtl. noch ausstehende Konfigurationsänderungen: a) wäre es evtl sinnvoll das man /var/log immer zulässt? Ich setze auch debug, trace oder sonstige Files nach /var/log; da "loggt" eigentlich jeder hin b) wie könnte man das nachträglich einrichten oder zumindest ein spezielles File erlauben? Ich persönlich finde AppArmor nicht gerade selbsterklärend und gebe zu, dass ich mich hier immer noch schwer tue. Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Andreas, hallo Leute, Am Donnerstag, 6. März 2014 schrieb Kyek, Andreas, Vodafone DE:
Christian Boltz wrote:
Hallo Andreas, hallo Leute,
Am Mittwoch, 5. März 2014 schrieb Andreas Ernst:
Am 05.03.14 12:38, schrieb Kyek, Andreas, Vodafone DE:
Andreas Ernst wrote:
Am 05.03.14 11:26, schrieb Kyek, Andreas, Vodafone DE: [Kammquoting repariert]
Das werde ich in diesem Leben Outlook nicht mehr beibringen:-(
IIRC gibt es ein Plugin (suche mal nach Outlook Quotefix o. ä.) - aber zum Glück ;-) kenne ich mich mit Outlook nicht wirklich aus.
Wenn Dovecot die Mails an einer ungewöhnlichen[tm] Stelle speichern soll, reicht schon eine Anpassung in /etc/apparmor.d/tunables/dovecot und ein rcapparmor reload
Dieser Tip[p] hat schon mal sehr weitergeholfen - es hat viel gebracht mein IMAP FS /local/mail hier zu aktivieren. Damit waren "fast alle" Meldungen auf einen Schlag weg.
Prima :-)
Es bleibt noch die Meldung zu "/var/log/dovecot_debug". Hierzu habe ich mir das Original-rpm runtergeladen; in der originalen conf.d/10-logging.conf ist überhaupt kein debug_log_path eingetragen; den habe ich wohl "damals" bei den Konfigurationsversuchen selber gebraucht.
Wenn man das nun zusammen nimmt ergibt sich: a) mir fehlte die Info wo mein mail-Storage konfiguriert wird
Guter Punkt. Ich guck mal, ob ich den Dovecot-Maintainer zu einem Kommentar in den Config-Dateien überreden kann ;-)
Für evtl. noch ausstehende Konfigurationsänderungen: a) wäre es evtl sinnvoll das man /var/log immer zulässt? Ich setze auch debug, trace oder sonstige Files nach /var/log; da "loggt" eigentlich jeder hin
Genau deshalb will ich das eher nicht erlauben - Schreibrechte für /var/log/* bedeuten auch, dass man beliebige Logs kaputtmachen/überschreiben/ändern kann. Davon abgesehen geht das meiste Logging per /dev/log an den Syslog- Daemon - was auch heißt, dass die einzelnen Programme selbst keine Schreibrechte auf ihr Logfile benötigen. (Ausnahmen bestätigen wie immer die Regel ;-)
b) wie könnte man das nachträglich einrichten oder zumindest ein spezielles File erlauben?
Die einfachste Lösung ist, mit aa-logprof den Zugriff aufs Logfile zu erlauben. Händisch geht es auch - gern auch in /etc/apparmor.d/local/$profil, um bei einem Update *.rpmnew-Dateien zu vermeiden. Da Dovecot aus mehreren Teilprogrammen besteht, müsstest Du anhand des Logs (audit.log bzw. messages) nachsehen, welches Binary das Log schreibt und in dessen Profil /var/log/dovecot-debug.log rw, eintragen. (Im Zweifelsfall schick mir die betreffenden Zeilen aus audit.log bzw. messages.)
Ich persönlich finde AppArmor nicht gerade selbsterklärend und gebe zu, dass ich mich hier immer noch schwer tue.
Lesetipps: - Crashkurs: meine AppArmor-Folien, die Du unter http://blog.cboltz.de/archives/65-openSUSE-conference.html runterladen kannst - ausführlicher: das openSUSE Handbuch bzw. dessen Online-Variante activedoc.opensuse.org -> Security Guide (für SLE12 wurde das Handbuch kräftig aktualisiert[1] - ich weiß aber nicht, wann das in die openSUSE-Doku übernommen wird) Gruß Christian Boltz [1] bei SUSE hat sich garantiert jemand über die vielen Fehler, die ich beim Korrekturlesen entdeckt habe, "gefreut" *eg* -- Die SLES macht ja die gleichen Zicken, dafür kann man sich aber aufgrun der höheren Preises zumindest eines der armen Support-Würstchen greifen und erfahren: "ZEN bietet aber darüber hinaus viele Vorteile.". Grrrr. [Bernd Glueckert in suse-linux] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Andreas Ernst
-
Christian Boltz
-
Kyek, Andreas, Vodafone DE