<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">Am 2017-10-07 um 13:33 schrieb
Christian Boltz:<br>
</div>
<blockquote type="cite"
cite="mid:6397139.d0xlGYWx81@tux.boltz.de.vu">
<pre wrap="">Hallo Ferdinand, hallo zusammen,
Am Samstag, 7. Oktober 2017, 11:10:02 CEST schrieb Ferdinand Gruber:
</pre>
<blockquote type="cite">
<pre wrap="">Ja, AppArmor scheint die Ursache zu sein. Habe AppArmor vorläufig
deaktiviert und dovecot-sieve arbeitet anscheinend vorläufig wieder
wie gewohnt.
Hier der Auszug aus /var/log/audit/audit.log:
type=AVC msg=audit(1507319730.081:2675): apparmor="DENIED"
operation="open" profile="/usr/lib/dovecot/dovecot-lda"
name="/home/myusername/.dovecot.sieve.log" pid=29168
comm="dovecot-lda" requested_mask="ac" denied_mask="ac" fsuid=1000
ouid=1000
</pre>
</blockquote>
<pre wrap="">
Frage vorweg: Hast Du Dein Maildir unter /home/myusername/ liegen oder
woanders?
(Bonusfrage, falls in /home/username/ - weißt Du, wo bei Maildirs
außerhalb des Homeverzeichnisses .dovecot.sieve.log angelegt wird?)
Diese Fragen sind "nur" fürs offiizielle Profil relevant ;-)
</pre>
<blockquote type="cite">
<pre wrap="">Was kann ich wie ändern im AppArmor Profil?
</pre>
</blockquote>
<pre wrap="">
Trage in /etc/apparmor.d/local/usr.lib.dovecot.dovecot-lda die Zeile
owner @{HOME}/.dovecot.sieve.log w,
ein. Danach AppArmor wieder aktivieren und Dovecot (und auch alle
anderen Prozesse, die eigentlich ein AppArmor-Profil haben) neu starten.
Am Besten schaltest Du dovecot-lda erstmal in den Lernmodus -
aa-complain /etc/apparmor.d/usr.lib.dovecot.dovecot-lda
Damit wird erstmal alles erlaubt, und die Sachen, die nicht im Profil
stehen, werden ins audit.log geschrieben (mit apparmor="ALLOWED").
Nach ein paar Stunden solltest Du nochmal ins audit.log sehen, ob es
"ALLOWED"-Logzeilen gibt. Falls nicht, schalte das Profil wieder scharf:
aa-enforce /etc/apparmor.d/usr.lib.dovecot.dovecot-lda
</pre>
<blockquote type="cite">
<pre wrap="">Bin da leider ein Anfänger. Danke für die Hilfe.
</pre>
</blockquote>
<pre wrap="">
Dann gebe ich Dir noch schnell einen Tip, wie man sogar als Anfänger
AppArmor-Profile anpassen kann: Rufe einfach aa-logprof auf ;-)
Das liest das Log und fragt Dich dann, ob Du (um bei obigem Beispiel zu
bleiben) dovecot-lda erlauben willst, ~/.dovecot.sieve.log zu schreiben.
(Ich würde aa-logprof aber nicht (nur) als Anfängertool sehen - es ist
deutlich benutzerfreundlicher als selbst das audit.log in die nötigen
Regeln zu "übersetzen" ;-)
Soweit Du von openSUSE mitgelieferte Profile (z. B. eins der Dovecot-
Profile) ändern musst, bin ich für einen Bugreport dankbar, damit ich
auch das "offizielle" Profil ergänzen kann.
Falls Du einen schnellen Überblick über AppArmor bekommen willst, suche
auf blog.cboltz.de nach "AppArmor Crashkurs" ;-) (gibt es auch als
Video, z. B. von der openSUSE Conference 2016 ;-)
Gruß
Christian Boltz
</pre>
</blockquote>
<p>Hallo,</p>
<p>danke für die ausführlichen Tipps.</p>
<p>Habe jetzt eine Zeit lang herumgespielt und komme zu der
Erkenntnis, dass ich vor lauter Bäumen den Wald nicht mehr sehe.</p>
<p>Meine Idee wäre nun:</p>
<ul>
<li>Mit Hilfe von YAST / Zypper <tt>apparmor</tt> komplett
deinstallieren</li>
<li>Die zwei Verzeichniss <tt>/etc/apparmor</tt> und <tt>/etc/apparmor.d</tt>
manuell löschen - habe ja sowieso ein Backup von allem.<br>
</li>
<li>Apparmor neu installieren und aktivieren</li>
</ul>
Und dann Schritt für Schritt die Probleme lösen (Profile in
/etc/apparmor.d/local anpassen), falls nötig.<br>
<br>
Zur Frage weiter oben:<br>
<br>
Die Mails werden bei meinem Server für alle User in<tt> ~/mail</tt>
gespeichert.<br>
<br>
Ferdinand<br>
<pre class="moz-signature" cols="72">--
Regards from Austria
Ferdinand Gruber</pre>
</body>
</html>