NoneApparmor не реагирует на мое профилирование

Question

NoneApparmor не реагирует на мое профилирование

После установки устройства Debian Buster моя жизнь стала сложнее. Но я хочу ознакомиться с ним, поэтому я пытаюсь настроить профили (я очень дебиан, поэтому я надеюсь, что это временно, следующее обновление должно исправить большинство проблем, я полагаю).

Одно из сообщений выглядит для меня очень просто:

Jul 25 13:01:03 zenon kernel: audit: type=1400 audit(1564052463.462:1334): apparmor="DENIED" operation="open" profile="/usr/sbin/postdrop" name="/etc/postfix/dynamicmaps.cf.d/" pid=25297 comm="postdrop" requested_mask="r" denied_mask="r" fsuid=0 ouid=0

Я думал, что я должен добавить /etc/postfix/dynamicmaps.cf.d r, в /etc/apparmor.d/usr.sbin.postdrop

и перезагрузить профиль... Но все равно отказано. Так что я подумал, может быть, я должен также добавить /etc/postfix/dynamicmaps.cf.d/* r, в /etc/apparmor.d/usr.sbin.postdropи перезагрузить профиль...

Но все же отказано...

Может я добавлю это не туда???

весь файл:

# ------------------------------------------------------------------
#
#    Copyright (C) 2002-2005 Novell/SUSE
#
#    This program is free software; you can redistribute it and/or
#    modify it under the terms of version 2 of the GNU General Public
#    License published by the Free Software Foundation.
#
# ------------------------------------------------------------------
# vim:syntax=apparmor

#include <tunables/global>

/usr/sbin/postdrop {
  #include <abstractions/base>
  #include <abstractions/kerberosclient>
  #include <abstractions/nameservice>
  #include <abstractions/postfix-common>

  # This is needed at least for permissions=paranoid
  capability dac_override,
  capability dac_read_search,

  /etc/postfix r,
  /etc/postfix/main.cf r,
  /etc/postfix/dynamicmaps.cf.d r,
  /etc/postfix/dynamicmaps.cf.d/* r,
  /etc/postfix/postfix-script mixr,
  @{PROC}/net/if_inet6 r,
  /usr/sbin/postdrop rmix,
  /var/spool/postfix r,
  /var/spool/postfix/maildrop r,
  /var/spool/postfix/maildrop/* rwl,
  /var/spool/postfix/pid r,
  /var/spool/postfix/public/pickup w,
}

0

debian-buster apparmor

Источник

SledgehammerPL 25 июл '19 в 14:06

0 ответов

Другие вопросы по тегам debian-buster apparmor

mebius99 02 май '20 в 01:01 2020-05-02 01:01 · Answer 1 · 2020-05-02 01:01

Существующие записи в файле профиля

/etc/postfix/dynamicmaps.cf.d r,
/etc/postfix/dynamicmaps.cf.d/* r,

не соответствуют /etc/postfix/dynamicmaps.cf.d/каталог. Только правила, которые соответствуют завершающей косой черте, будут соответствовать каталогам. Любое из следующего должно работать:

/etc/postfix/dynamicmaps.cf.d/ r
/etc/postfix/** r

См. Apparmor.d - синтаксис профилей безопасности для AppArmor для более подробной информации.

Вы можете запустить AppArmor или отдельный профиль в режиме жалоб для отладки.