SPAM wird nicht mehr nach TRASH verschoben

Christian Boltz dovecot-jpb at cboltz.de
Sa Okt 7 13:33:17 CEST 2017 

Hallo Ferdinand, hallo zusammen,

Am Samstag, 7. Oktober 2017, 11:10:02 CEST schrieb Ferdinand Gruber:
> Ja, AppArmor scheint die Ursache zu sein. Habe AppArmor vorläufig
> deaktiviert und dovecot-sieve arbeitet anscheinend vorläufig wieder
> wie gewohnt.
> 
> Hier der Auszug aus /var/log/audit/audit.log:
> 
>     type=AVC msg=audit(1507319730.081:2675): apparmor="DENIED"
>     operation="open" profile="/usr/lib/dovecot/dovecot-lda"
>     name="/home/myusername/.dovecot.sieve.log" pid=29168
>     comm="dovecot-lda" requested_mask="ac" denied_mask="ac" fsuid=1000
> ouid=1000

Frage vorweg: Hast Du Dein Maildir unter /home/myusername/ liegen oder 
woanders?
(Bonusfrage, falls in /home/username/ - weißt Du, wo bei Maildirs 
außerhalb des Homeverzeichnisses .dovecot.sieve.log angelegt wird?)

Diese Fragen sind "nur" fürs offiizielle Profil relevant ;-)

> Was kann ich wie ändern im AppArmor Profil? 

Trage in /etc/apparmor.d/local/usr.lib.dovecot.dovecot-lda die Zeile

    owner @{HOME}/.dovecot.sieve.log w,

ein. Danach AppArmor wieder aktivieren und Dovecot (und auch alle 
anderen Prozesse, die eigentlich ein AppArmor-Profil haben) neu starten.

Am Besten schaltest Du dovecot-lda erstmal in den Lernmodus -

    aa-complain /etc/apparmor.d/usr.lib.dovecot.dovecot-lda

Damit wird erstmal alles erlaubt, und die Sachen, die nicht im Profil 
stehen, werden ins audit.log geschrieben (mit apparmor="ALLOWED").

Nach ein paar Stunden solltest Du nochmal ins audit.log sehen, ob es 
"ALLOWED"-Logzeilen gibt. Falls nicht, schalte das Profil wieder scharf:

    aa-enforce /etc/apparmor.d/usr.lib.dovecot.dovecot-lda


> Bin da leider ein Anfänger. Danke für die Hilfe.

Dann gebe ich Dir noch schnell einen Tip, wie man sogar als Anfänger 
AppArmor-Profile anpassen kann: Rufe einfach aa-logprof auf ;-)
Das liest das Log und fragt Dich dann, ob Du (um bei obigem Beispiel zu 
bleiben) dovecot-lda erlauben willst, ~/.dovecot.sieve.log zu schreiben.
(Ich würde aa-logprof aber nicht (nur) als Anfängertool sehen - es ist 
deutlich benutzerfreundlicher als selbst das audit.log in die nötigen 
Regeln zu "übersetzen" ;-)

Soweit Du von openSUSE mitgelieferte Profile (z. B. eins der Dovecot-
Profile) ändern musst, bin ich für einen Bugreport dankbar, damit ich 
auch das "offizielle" Profil ergänzen kann.

Falls Du einen schnellen Überblick über AppArmor bekommen willst, suche 
auf blog.cboltz.de nach "AppArmor Crashkurs" ;-)  (gibt es auch als 
Video, z. B. von der openSUSE Conference 2016 ;-)


Gruß

Christian Boltz
-- 
Yes, basil troll, the opensuse release manager, long time kde developer,
and member of the opensuse board is not a linux person, he doesnt
understand linux like you, oh, great linux overlord you are, he is just
a newbie who doesnt know what he is doing. You are so cute you must poop
rainbows. [Druid in opensuse-factory]

Mehr Informationen über die Mailingliste Dovecot