Servus Christian und allen interessierten Mitlesern, herzlichen Dank für Deinen _sehr richtigen_ Hinweis :-D Ich könnt' mich bloß in den A...sten beißen, weil ich mich dadurch wieder erinnere, dass ich deswegen schon mal den AppArmor kurzerhand zum Teufel geschickt habe (ich mag solche Nebenberechtigungs- oder besser Nebenbeschränkungssysteme nicht). Hätte ich bloß in meinem Admin-Diary gesucht -- knirsch :-| Ist nämlich schon recht lange her; das war bei einer oS 12.3 oder 13.1, glaube ich. Heute habe ich oS 13.2. Nebenfrage: Gibt's eigentlich eine zentrale Datei, wo eingetragen ist, was auf einem System per Distri-Default läuft bzw. aktiviert ist, und wo am besten auch automatisch eingetragen wird, wann man selber einen Dienst oder was auch immer aktiviert, neu konfiguriert u.s.w.. Wäre schon interessant, wenn man das von Distri-Version zu -Version vergleichen könnte, und freilich auch, um zu sehen, was man über die Jahre selber so 'verbrochen' hat. Das wäre sozusagen ein sehr, sehr langsamer Log, weil nur Admin-Aktionen aufgezeichnet würden. So könnte man auch gut nachvollziehen, wenn man etwas verbockt hat, besonders, wo Fehler erst viel später auftauchen. Trotzdem gibt's so immer wieder was zu lernen, was das Gute daran ist, denn ich habe noch den Fehler mit /var/run/dovecot/mounts. Doch hier zunächst mal ein paar Zeilen aus /var/log/audit/audit.log: type=USER_AUTH msg=audit(1476894139.992:14384): pid=14663 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication acct="?" exe="/usr/lib/dovecot/auth" hostname=192.168.0.3 addr=192.168.0.3 terminal=dovecot res=failed' type=AVC msg=audit(1476894139.994:14385): apparmor="DENIED" operation="open" profile="/usr/lib/dovecot/imap" name="/var/run/dovecot/mounts" pid=14664 comm="imap" requested_mask="r" denied_mask="r" fsuid=10000 ouid=0 type=SYSCALL msg=audit(1476894139.994:14385): arch=c000003e syscall=2 success=no exit=-13 a0=7fb2413f0a40 a1=0 a2=7fb2413f0940 a3=7fff63a3aba0 items=0 ppid=21672 pid=14664 auid=4294967295 uid=10000 gid=10000 euid=10000 suid=10000 fsuid=10000 egid=10000 sgid=10000 fsgid=10000 tty=(none) ses=4294967295 comm="imap" exe="/usr/lib/dovecot/imap" key=(null) type=PROCTITLE msg=audit(1476894139.994:14385): proctitle="dovecot/imap" type=AVC msg=audit(1476894139.994:14386): apparmor="DENIED" operation="mkdir" profile="/usr/lib/dovecot/imap" name="/srv/mail/vhosts/<domain>.<tld>/<user>/Mail/" pid=14664 comm="imap" requested_mask="c" denied_mask="c" fsuid=10000 ouid=10000 Hoffe, das genügt Dir. Wenn Dich noch anderes interessiert, immer gerne! Nochmal speziell zur Datei "/etc/apparmor.d/tunables/dovecot". Hier stand bei mir nur die eine Zeile für bzw. gegen Dovecot drin: @{DOVECOT_MAILSTORE}=@{HOME}/Maildir/ @{HOME}/mail/ @{HOME}/Mail/ /var/vmail/ /var/mail/ /var/spool/mail/ Ans Ende habe ich "/srv/mail/vhosts" eingetragen, was gewirkt hat. Im Kommentar darüber steht: # @{DOVECOT_MAILSTORE} is a space-separated list of all directories # where dovecot is allowed to store and read mails Muss ich das wörtlich nehmen, d.h. dass nur die Mailverzeichnisse dort eingetragen werden dürfen? Wenn ja, wie müsste dann ein Eintrag aussehen, damit das lesen von "/var/run/dovecot/mounts" möglich wird? Oder kann/sollte man diesen Fehler getrost ignorieren? Noch eines: als ich noch Systembenutzer als Mail-User zugelassen habe, war es AppArmor anscheinend egal, dass dovecot im Home-Verzeichnis des Benutzers die MailDir-Verzeichnisstruktur angelegt hat. Wacht AppArmor nicht über Benutzerverzeichnisse? Wo ist festgelegt, worüber grundsätzlich gewacht wird? Am 20.10.2016 um 22:42 schrieb Christian Boltz:
Hallo Thomas, hallo zusammen, [...]
Guck auch mal in /var/log/audit/audit.log nach Zeilen mit DENIED (insbesondere Einträge zu /var/run/dovecot/mounts würden mich interessieren)
Gibt's irgendwo eine Stelle, wo man alle Neuerungen von Distri-Version zu Distri-Version gesammelt und möglichst schön gegliedert und in einer gewissen Tiefe (oder gerne mit Links auf entsprechende Doku) nachlesen kann, damit man besser auf dem Laufenden bleibt? Vor langer, langer Zeit (noch SuSE) gab's mal einen Documentation Server im System, wo man im Browser auch Man Pages, die On-the-Fly nach HTML umgewandelt wurden, und viele andere Doku lesen konnte. Gibt's heute etwas entsprechendes?
Noch eine Frage - welche openSUSE-Version?
oS 13.2 Also nochmals vielen Dank! Wäre schön, wenn wir auch noch klären könnte, wie man den Fehler mit "/var/run/dovecot/mounts" beseitigen kann. Viele Grüße, Tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org