Dovecot lmtp permission denied sles12sp1

Sven Pastorik s.pastorik at westfalen-blatt.de
Fr Jan 22 11:43:49 CET 2016


Hallo Christian, 

danke für den Schuss ins Blaue, es war ein Volltreffer.

Für den ersten Test habe ich Apparmor ausgeschaltet und es lief auf anhieb.
Schon merkwürdig das Suse das bis heute nicht angepasst hat. Schließlich gibt es schon SP1.

Nachdem ich das von dir Empfohlene Repo installiert habe läuft es dann auch ohne Anpassung mit Apparmor. 

Suse hat aber Apparmor so eingestellt das es nichts loggt.
Auch

gateway3:/etc/dovecot # aa-notify -s 1 -v
Cannot read '/var/log/kern.log'

bringt nur einen Fehler.
Da wird Suse wohl etwas nachbessern müssen.
-----------------ursprüngliche Nachricht-----------------
Von:Christian Boltz [dovecot-jpb at cboltz.de ]
An:dovecot at listen.jpberlin.de 
Datum:Thu, 21 Jan 2016 18:30:26 +0100
-------------------------------------------------

> Hallo Sven, hallo Leute,
> 
> Am Donnerstag, 21. Januar 2016 schrieb Sven Pastorik:
>> Hallo, ich lese gerade das Dovecot Buch und bin dabei auf einen
>> SLES12sp1 Postfix + LDAP + Dovecot einzurichten.
> 
>> Jan 21 12:26:04 gateway3 dovecot[14903]:master:Fatal:
>> execv(/usr/lib/dovecot/lmtp) failed:Permission denied 
> 
> Schuss ins Blaue:das könnte durchaus an einem veralteten AppArmor-Profil 
> liegen.
> 
> Guck mal in /var/log/audit/audit.log oder lass Dir von
> aa-notify -s 1 -v
> alle Denials der letzten 24 Stunden anzeigen. Ist da irgendwas zu 
> Dovecot dabei?
> 
> Unter der Annahme, dass es an AppArmor liegt:
> 
> SLE12 SP1 hat AFAIK immer noch AppArmor 2.8.x - und seitdem habe ich 
> einige Ergänzungen in den AppArmor-Profilen rund um Dovecot gemacht. In 
> neueren AppArmor-Versionen (und auch in allen supporteten openSUSE-
> Releases) ist das alles gefixt, der SLE-AppArmor-Maintainer wollte aber 
> nicht auf 2.9 oder 2.10 updaten.
> 
> Lange Rede, kurzer Sinn:Falls Du DENIED-Einträge im audit.log hast, 
> besorg Dir die aktuellen AppArmor-Profile, wahlweise
> - das Repo security:apparmor einbinden und apparmor-profiles und 
> apparmor-abstractions 2.10 von da installieren:
> 
> http://download.opensuse.org/repositories/security:/apparmor/SLE_12/
> 
> - apparmor-profiles und apparmor-abstractions aus openSUSE Leap sollten 
> auch passen
> - direkt aus dem Upstream-Tarball oder Repo runterladen: 
> https://launchpad.net/apparmor
> 
> Anpassung von /etc/apparmor.d/tunables/dovecot nicht vergessen und 
> anschließend mit rcapparmor reload die Profile neu laden.
> 
> Falls es dann immer noch hakt, sag Bescheid.
> 
> Ach ja, bitte den SLE-Bugreport nicht vergessen ;-)
> 
> 
> Du kannst natürlich auch mit aa-logprof die Profile selbst aktualisieren, 
> ich halte das aber für einen Fall von "das Rad neu erfinden" ;-)
> 
> 
> Gruß
> 
> Christian Boltz
> -- 
> DAS kenne ich! Learning by carrying of annoying heavy hardware.
> So'nen Strafmonitor habe ich hier auch. Wenn ich mal wieder meinen
> kleinen Server an die Wand gefahren hab, müssen 40 kg/21" den Flur
> hochgewuchtet werden :-) [Ratti]
> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listen.jpberlin.de/pipermail/dovecot/attachments/20160122/84519dfe/attachment.html>


Mehr Informationen über die Mailingliste Dovecot