Nach der Installation von Debian Buster hat mir Apparmor das Leben schwerer gemacht. Aber ich möchte mich damit vertraut machen, also versuche ich, Profile zu optimieren (ich bin sehr debianlastig, also hoffe ich, dass es nur vorübergehend ist, das nächste Upgrade sollte die meisten Probleme beheben, nehme ich an).
Eine der Nachrichten sieht für mich ganz einfach aus:
Jul 25 13:01:03 zenon kernel: audit: type=1400 audit(1564052463.462:1334): apparmor="DENIED" operation="open" profile="/usr/sbin/postdrop" name="/etc/postfix/dynamicmaps.cf.d/" pid=25297 comm="postdrop" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Ich dachte, ich sollte /etc/postfix/dynamicmaps.cf.d r,hinzufügen/etc/apparmor.d/usr.sbin.postdrop
und Profil neu laden ... Aber immer noch abgelehnt. Also dachte ich, vielleicht sollte ich auch
/etc/postfix/dynamicmaps.cf.d/* r,ein /etc/apparmor.d/usr.sbin.postdrop
Profil neu laden ...
Aber immer noch abgelehnt...
Vielleicht habe ich es an der falschen Stelle hinzugefügt???
ganze Datei:
# ------------------------------------------------------------------
#
# Copyright (C) 2002-2005 Novell/SUSE
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of version 2 of the GNU General Public
# License published by the Free Software Foundation.
#
# ------------------------------------------------------------------
# vim:syntax=apparmor
#include <tunables/global>
/usr/sbin/postdrop {
#include <abstractions/base>
#include <abstractions/kerberosclient>
#include <abstractions/nameservice>
#include <abstractions/postfix-common>
# This is needed at least for permissions=paranoid
capability dac_override,
capability dac_read_search,
/etc/postfix r,
/etc/postfix/main.cf r,
/etc/postfix/dynamicmaps.cf.d r,
/etc/postfix/dynamicmaps.cf.d/* r,
/etc/postfix/postfix-script mixr,
@{PROC}/net/if_inet6 r,
/usr/sbin/postdrop rmix,
/var/spool/postfix r,
/var/spool/postfix/maildrop r,
/var/spool/postfix/maildrop/* rwl,
/var/spool/postfix/pid r,
/var/spool/postfix/public/pickup w,
}
Antwort1
Vorhandene Einträge in der Profildatei
/etc/postfix/dynamicmaps.cf.d r,
/etc/postfix/dynamicmaps.cf.d/* r,
stimmen nicht mit dem /etc/postfix/dynamicmaps.cf.d/Verzeichnis überein. Nur Regeln, die mit einem abschließenden Schrägstrich übereinstimmen, stimmen mit Verzeichnissen überein. Eine der folgenden Regeln sollte funktionieren:
/etc/postfix/dynamicmaps.cf.d/ r
/etc/postfix/** r
Sehenapparmor.d – Syntax von Sicherheitsprofilen für AppArmorfür mehr Details.
Sie können AppArmor oder ein separates Profil inBeschwerdemodusZudebuggen.