Después de instalar Debian Buster Apparmor, mi vida fue más difícil. Pero quiero familiarizarme con él, así que intento ajustar los perfiles (soy muy debianiano, así que espero que sea temporal, la próxima actualización debería solucionar la mayoría de los problemas, supongo).
Uno de los mensajes me busca muy fácil:
Jul 25 13:01:03 zenon kernel: audit: type=1400 audit(1564052463.462:1334): apparmor="DENIED" operation="open" profile="/usr/sbin/postdrop" name="/etc/postfix/dynamicmaps.cf.d/" pid=25297 comm="postdrop" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
Pensé que debería agregar /etc/postfix/dynamicmaps.cf.d r,a/etc/apparmor.d/usr.sbin.postdrop
y recargar perfil... Pero sigue negado. Entonces pensé que tal vez también debería agregar
/etc/postfix/dynamicmaps.cf.d/* r,y /etc/apparmor.d/usr.sbin.postdrop
recargar el perfil...
Pero todavía lo niegan...
¿Quizás lo agregué al lugar equivocado?
archivo completo:
# ------------------------------------------------------------------
#
# Copyright (C) 2002-2005 Novell/SUSE
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of version 2 of the GNU General Public
# License published by the Free Software Foundation.
#
# ------------------------------------------------------------------
# vim:syntax=apparmor
#include <tunables/global>
/usr/sbin/postdrop {
#include <abstractions/base>
#include <abstractions/kerberosclient>
#include <abstractions/nameservice>
#include <abstractions/postfix-common>
# This is needed at least for permissions=paranoid
capability dac_override,
capability dac_read_search,
/etc/postfix r,
/etc/postfix/main.cf r,
/etc/postfix/dynamicmaps.cf.d r,
/etc/postfix/dynamicmaps.cf.d/* r,
/etc/postfix/postfix-script mixr,
@{PROC}/net/if_inet6 r,
/usr/sbin/postdrop rmix,
/var/spool/postfix r,
/var/spool/postfix/maildrop r,
/var/spool/postfix/maildrop/* rwl,
/var/spool/postfix/pid r,
/var/spool/postfix/public/pickup w,
}
Respuesta1
Entradas existentes en el archivo de perfil
/etc/postfix/dynamicmaps.cf.d r,
/etc/postfix/dynamicmaps.cf.d/* r,
no coincide con el /etc/postfix/dynamicmaps.cf.d/directorio. Sólo las reglas que coincidan con una barra inclinada al final coincidirán con los directorios. Cualquiera de los siguientes debería funcionar:
/etc/postfix/dynamicmaps.cf.d/ r
/etc/postfix/** r
Verapparmor.d: sintaxis de perfiles de seguridad para AppArmorpara más detalles.
Puede ejecutar AppArmor o un perfil separado enmodo quejaadepurar.