https://grubit.at/fg_mediawiki/index.php?action=history&feed=atom&title=ApparmorApparmor - Versionsgeschichte2026-05-06T17:35:26ZVersionsgeschichte dieser Seite in Mediawiki Ferdinand GruberMediaWiki 1.43.0https://grubit.at/fg_mediawiki/index.php?title=Apparmor&diff=423&oldid=prevWikiSysop: 1 Version importiert2020-10-07T16:02:48Z<p>1 Version importiert</p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<tr class="diff-title" lang="de">
<td colspan="1" style="background-color: #fff; color: #202122; text-align: center;">← Nächstältere Version</td>
<td colspan="1" style="background-color: #fff; color: #202122; text-align: center;">Version vom 7. Oktober 2020, 16:02 Uhr</td>
</tr><tr><td colspan="2" class="diff-notice" lang="de"><div class="mw-diff-empty">(kein Unterschied)</div>
</td></tr></table>WikiSysophttps://grubit.at/fg_mediawiki/index.php?title=Apparmor&diff=422&oldid=prevfg>WikiSysop: /* Apparmor */2019-11-20T19:57:12Z<p><span class="autocomment">Apparmor</span></p>
<p><b>Neue Seite</b></p><div>== Apparmor ==<br />
* Service starten<br />
systemctl start apparmor.service<br />
systemctl enable apparmor.service<br />
* Apparmor Flags<br />
Jedes Profil kann in einem der drei Modi aktiviert werden: '''complain, enforce, audit'''<br />
: Es können auch alle Profile in einen bestimmten Modus versetzt werden<br />
# Beispiele<br />
aa-complain /etc/apparmor.d/* # für den "Complain"-Modus"<br />
aa-enforce /etc/apparmor.d/* # für den "Enforce"-Modus<br />
<br />
== Ein Apparmor Profil anpassen ==<br />
* Ein Apparmor Profil in den Complain Modus setzen<br />
# Beispiel<br />
aa-complain /usr/lib/dovecot/config<br />
* Dann das entsprechende Programm starten<br />
dovecot<br />
Nun werden Aktionen, die gegen die Regeln im Profil verstoßen, in <code>/var/log/audit/audit.log</code> geschrieben.<br />
* Profil automatisch anpassen<br />
aa-logprof<br />
<br />
== Troubles ==<br />
=== Probleme nach Systemupgrade ===<br />
server dovecot: IMAP(username): file_dotlock_create(/var/mail/username) failed: Permission denied<br />
... oder ähnliche Meldungen.<br />
: Die Ursache liegt im '''AppArmor Profil''' für dovecot.<br />
* Apparmor Profile überprüfen<br />
Die Profile befinden sich in <br />
/etc/apparmor.d<br />
Möglicherweise müssen nach einem Systemupgrade einige Profile erneuert werden.<br />
# Beispiel<br />
cd /etc/apparmor.d<br />
mv usr.sbin.dovecot usr.sbin.dovecot.bak<br />
mv usr.sbin.dovecot.rpmnew usr.sbin.dovecot<br />
* Thread zu diesem Thema<br />
[http://linux-club.de/forum/viewtopic.php?f=116&t=121865 Dovecot wird blockiert von Apparmor]<br />
<br />
=== Dovecot Profile ändern ===<br />
Auf meinem openSUSE Server hat sich gezeigt, dass einige Korrekturen notwendig sind.<br />
: Änderungen sollte man nicht an den Dateien in <code>/etc/apparmor.d</code> vornehmen sondern in <code>/etc/apparmor.d/local</code>.<br />
: Hier befinden sich Dateien gleichen Namens, die von den jeweiligen Profildateien in <code>/etc/apparmor.d</code> includiert werden.<br />
<br />
master: Fatal: execv(/usr/lib/dovecot/stats) failed: Permission denied<br />
Mit folgender Zeile in der Datei <code>/etc/apparmor.d/local/usr/lib/dovecot/stats</code> konnte ich das Problem lösen:<br />
/usr/lib/dovecot/stats mrpx,<br />
* [https://linux-club.de/forum/viewtopic.php?f=90&t=122983&sid=723f3a485738e695160932cb6f405f1a Thread zu diesem Thema]<br />
=== Letsencrypt Zertifikate ===<br />
Folgende Ergänzungen in <code>/etc/apparmor.d/local</code> habe ich vorgenommen, damit '''Dovecot''' mit '''Apparmor''' funktioniert:<br />
# usr.lib.dovecot.config:<br />
/etc/letsencrypt/archive/mydomainname/* r,<br />
/etc/letsencrypt/live/mydomainname/* r,<br />
<br />
# usr.sbin.dovecot<br />
/etc/letsencrypt/archive/mydomainname/* r,<br />
<br />
== Info ==<br />
[https://blog.cboltz.de/uploads/apparmor-english-2016-osc.pdf Crashkurs AppArmor]<br />
<br />
[https://wiki.ubuntuusers.de/AppArmor/ https://wiki.ubuntuusers.de/AppArmor/]</div>fg>WikiSysop