• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Dovecot Fehlermeldung wegen apparmor

F

f.gruber

Hacker
Hallo,
diese Meldungen stehen beim Zugriff auf den IMAP Server Dovecot im LOG, wenn ich apparmor aktiviere.
Code: 
master: Fatal: execv(/usr/lib/dovecot/stats) failed: Permission denied
master: Error: service(stats): command startup failed, throttling for 8 secs
stats: Fatal: master: service(stats): child 15303 returned error 84 (exec() failed)
Habe schon alles mögliche probiert.

Code: 
doveadm stop

Code: 
aa-complain usr.lib.dovecot.stats
/etc/apparmor.d/usr.lib.dovecot.stats wird in den Complain-Modus versetzt.

Dann

Code: 
aa-logprof
Protokolleinträge von /var/log/audit/audit.log werden gelesen.
AppArmor-Profile in /etc/apparmor.d werden aktualisiert.
Änderungen im Erzwingen-Modus

Dann wieder

Code: 
aa-enforce usr.lib.dovecot.stats
/etc/apparmor.d/usr.lib.dovecot.stats wird in den Erzwingen-Modus versetzt.

Dovecot start:

Code: 
dovecot

Zunächst alles ok. Doch, wenn sich ein User auf dem IMAP Server einloggt, habe ich wieder

Code: 
imap-login: Login: user=<xxxx>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, mpid=15858, TLS, session=<gJTqMJ2XUoR/AAAB>
master: Fatal: execv(/usr/lib/dovecot/stats) failed: Permission denied
master: Error: service(stats): command startup failed, throttling for 8 secs
stats: Fatal: master: service(stats): child 15859 returned error 84 (exec() failed)

Was soll ich machen?

Die einfache "Lösung" ist, apparmor zu deaktivieren, was ich ja auf diesem Server jetzt seit Monaten getan habe. Jetzt aber wollte ich der Sache doch einmal auf den Grund gehen.

Ja, und noch etwas:
Wenn ich apparmor deaktiviere, hilft das zunächst gar nichts.
Nach dem Deaktivieren von apparmor muss ich den Server rebooten. Dann arbeitet Dovecot wieder normal, also ohne diese Fehlermeldungen im Journal.

Kann mir jemand helfen?
 
OP
F

f.gruber

Hacker
Es scheint, dass ich das Problem selber lösen konnte.

Ich habe zunächst einmal alle Dateien, die nach dem letzten Update geändert worden sind, auf den neuen Stand gebracht, also alle Dateien gelöscht, wenn eine gleichnamige Datei mit dem Suffix rpmsave existiert und diese dann umbenannt.

Dann habe ich noch folgenden Profil Override gemacht:
Code: 
/etc/apparmor.d/local/usr.lib.dovecot.stats
In diese Datei habe ich folgendes eingefügt
Code: 
/usr/lib/dovecot/stats mrpx,

Dann apparmor aktiviert
Code: 
systemctl start apparmor.service
systemctl enable apparmor.service
und dovecot gestartet
Code: 
dovecot
Ich bekomme jedenfalls nun keine Fehlermeldung mehr :p
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben