Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Il 30/04/19 13:53, Nicola Ferrari (#554252) ha scritto:

[...]
A questo punto è chiaro che il problema stia nell'espansione della 
variabile.


Se nella shell dai
echo $HOME
ovviamente si espande al valore corretto, giusto?

certamente, assolutamente si.

$ echo $HOME
/home/DOMINIOCSA/psala

Piviul

Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Il 30/04/19 14:20, Paolo Redælli ha scritto:
[...] 
Stasera vedo di farglielo sapere in modo educato.

Mille grazie!

Piviul

Re: problemi con thunderbird

2019-04-30 Per discussione Paolo Redælli 



Il 30/04/2019 12:46, Piviul ha scritto:

Il 30/04/19 12:24, Nicola Ferrari (#554252) ha scritto:

[...]
immagino tu abbia già verificato..
si, il file .parentlock è creato proprio con i permessi dell'utente 
che esegue thunderbird. Se puoi intervieni anche tu nel bug report[¹], 
lo stanno minimizzando dicendo che il percorso della home non è 
standard e non lo considerano un baco...
Credo interverrò anche io perché non sta scritto da nessuna parte che 
/home non debba avere una gerarchia. Se avessi tanti utenti uno potrebbe 
anche voler fare sottodirectory separate...


Tant'è vero che sia "man hier" che il Filesystem Hierarchy Standard ( 
http://www.pathname.com/fhs/pub/fhs-2.3.html#HOMEUSERHOMEDIRECTORIES ) 
dicono che


/home is a fairly standard concept, but it is clearly a site-specific 
filesystem. [9] 
 The setup will 
differ from host to host. *Therefore, no program should rely on this 
location.* [10] 



Stasera vedo di farglielo sapere in modo educato.


Piviul

[¹] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928178

Re: problemi con thunderbird

2019-04-30 Per discussione Nicola Ferrari (#554252) 

Il 30/04/2019 12:43, Piviul ha scritto:

ho provato ad aggiungere la riga
  owner 
/home/DOMINIOCSA/*/.{icedove,thunderbird}/**/*.{db,parentlock,sqlite}* k,

e riabilitato apparmor e thunderbird si avvia, direi che è proprio quello.



A questo punto è chiaro che il problema stia nell'espansione della 
variabile.


Se nella shell dai
echo $HOME
ovviamente si espande al valore corretto, giusto?
(immagino di sì, se no avresti una barca di altri problemi...)

Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Il 30/04/19 12:24, Nicola Ferrari (#554252) ha scritto:

[...]
immagino tu abbia già verificato..
si, il file .parentlock è creato proprio con i permessi dell'utente che 
esegue thunderbird. Se puoi intervieni anche tu nel bug report[¹], lo 
stanno minimizzando dicendo che il percorso della home non è standard e 
non lo considerano un baco...


Ancora davvero mille grazie

Piviul

[¹] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928178

Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Il 30/04/19 08:08, Nicola Ferrari (#554252) ha scritto:

Il 29/04/2019 14:25, Piviul ha scritto:

Il 29/04/19 12:15, Nicola Ferrari (#554252) ha scritto:
scusa, ammetto che non ho seguito il post dall'inizio, ma da quel che 
posti sembra che c'entri apparmor...
Mi hanno risposto nel bug report che ho aperto[¹]: il problema da me 
risontrato è legato al fatto che l'utente non è locale ma remoto (il pc 
è legato ad un dominio samba) quindi anche il percorso del profilo non è 
canonico tipo /home/username ma /home/dominio/username e questo crea il 
problema (ho verificato ed in effetti gli utenti locali riescono ad 
aprire TB anche con il profilo apparmor abilitato).


L'unico mistero che ancora non ho risolto è che prima degli ultimi 
aggiornamenti TB funzionava bene anche con apparmor abilitato... bah...


Comunque davvero ancora mille rgazie

Piviul

[¹] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928178

Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Il 30/04/19 12:20, Nicola Ferrari (#554252) ha scritto:

se le cose stanno come hai descritto, parrebbe in effetti tutto in ordine..

per fare un po' di debug, prova, giusto per capire a mettere una riga 
specifica

/home/DOMINIOCSA/psala/.thunderbird/5p9oab1n.default/.parentlock k,


ho provato ad aggiungere la riga

  owner /home/DOMINIOCSA/*/.{icedove,thunderbird}/**/*.{db,parentlock,sqlite}* 
k,

e riabilitato apparmor e thunderbird si avvia, direi che è proprio quello.



giusto per capire se il problema è l'espansione delle variabili..
dal percorso deduco che usi likewise per mettere la macchina in dominio 
o qualcosa del genere ...
qualcosa del genere. Il DC è ancora un samba3 ed utilizzo winbind come 
autenticazione...



[...]
PS: Sì, in effetti AppArmor è uno strumento assai potente sul piano 
della sicurezza, perchè si possono creare dei contesti "isolati" per i 
vari processi.. andrebbe approfondito, da me in primis :)
in effetti è veramente potente e per software che intrinsecamente è 
esposto (browser, posta elettronica) a possibili attacchi anche 
all'interno della LAN è veramente uno strumento che promette molto bene.


Davvero ancora mille grazie

Piviul

Re: problemi con thunderbird

2019-04-30 Per discussione Nicola Ferrari (#554252) 

aggiungo alla precedente: in documentazione apparmor trovo che

owner
   Specifies that the task must have the same euid/fsuid as the 
object being referenced by the permission check. [1]


ma il file di lock su cui c'è l'errore ha permessi/proprietario 
corretti, come tutti gli altri file?


immagino tu abbia già verificato..


[1] http://manpages.ubuntu.com/manpages/xenial/man5/apparmor.d.5.html

--
+-+
| Linux User  #554252 |
+-+

Re: problemi con thunderbird

2019-04-30 Per discussione Nicola Ferrari (#554252) 

se le cose stanno come hai descritto, parrebbe in effetti tutto in ordine..

per fare un po' di debug, prova, giusto per capire a mettere una riga 
specifica

/home/DOMINIOCSA/psala/.thunderbird/5p9oab1n.default/.parentlock k,

giusto per capire se il problema è l'espansione delle variabili..
dal percorso deduco che usi likewise per mettere la macchina in dominio 
o qualcosa del genere ...


Poi ricarica il profilo e vedi se l'errore permane..

Se viene concesso il permesso di .lock e poi l'errore è che non è stato 
possibile fare .lock, c'è indubbiamente qualcosa che non torna e, a 
questo punto, sono pure curioso..


Teniamo d'occhio anche l'evoluzione del bug..
Grazie :)

N

PS: Sì, in effetti AppArmor è uno strumento assai potente sul piano 
della sicurezza, perchè si possono creare dei contesti "isolati" per i 
vari processi.. andrebbe approfondito, da me in primis :)



--
+-+
| Linux User  #554252 |
+-+

Re: problemi con thunderbird

2019-04-30 Per discussione Piviul 

Grazie mille Nicola!

Il 30/04/19 08:08, Nicola Ferrari (#554252) ha scritto:

[...]
Dunque, inizierei innanzitutto a verificare il profilo apparmor per 
l'eseguibile di thunderbird


edita il file
/etc/apparmor.d/usr.bin.thunderbird

Nella sezione
# per-user thunderbird configuration

aggiungi alle altre una riga del tipo

owner @{HOME}/.{icedove,thunderbird}/**/.lock k,

che significa,
"nella home dell'utente, nelle cartelle .icedove oppure .thunderbird o 
sottocartelle, concedi permesso di lock al file .lock


prendi il nome del file dal log postato in precedenza
dunque, ho dato un'occhiata al file usr.bin.thunderbird ma non vorrei 
peccare di presunzione ma mi sembra che ci sia qualcosa che non torni... 
Premesso che nei log trovo l'errore:



Apr 30 08:04:32 psala-lx2 kernel: [  300.766241] audit: type=1400 audit(1556604272.714:95): apparmor="DENIED" 
operation="file_lock" profile="thunderbird" name="/home/DOMINIOCSA/psala/.thunderbird/5p9oab1n.default/.parentlock" 
pid=3479 comm="thunderbird" requested_mask="k" denied_mask="k" fsuid=21046 ouid=21046


ne deduco che apparmor non permette di scrivere il file .parentlock 
nella dir del profilo di thunderbird: sbaglio? Però in realtà dopo che 
thunderbird da il messaggio di errore trovo il file .parentlock nel 
profilo di thunderbird quindi direi che può crearlo. Poi sono perplesso 
sul fatto che in usr.bin.thunderbird trovo nella sezione per-user una 
riga tipo:

  owner @{HOME}/.{icedove,thunderbird}/**/*.{db,parentlock,sqlite}* k,


che infatti sembra proprio il permesso di creazione dei file di lock 
.db, .parentlock e .sqlite nella dir del profilo e a questo punto non so 
cosa aggiungere al file...



[...]
Da un punto di vista della segnalazione del bug, i profili apparmor sono 
mantenuti proprio dal team di apparmor [1].


Di conseguenza, la segnalazione andrebbe fatta a loro.
porca paletta, ho aperto un bug report a thunderbird[¹]. L'ho aperto su 
thunderbird perché ho visto che il file 
/etc/apparmor.d/usr.bin.thunderbird è nel pacchetto di thunderbird...


Potresti comunque provare a scaricare il profilo aggiornato al link [1] 
metterlo in /etc/apparmor.d/usr.bin.thunderbird e vedere se il problema 
si risolve: il profilo è per ubuntu, ma dovrebbe essere pienamente 
compatibile, e forse il problema è già stato risolto ma semplicemente il 
pacchetto debian non è aggiornato.

no, il file è identico a quello presente sul mio PC :(

Beh, mille grazie davvero, incomincio a capire qualcosa in più su 
apparmor cosa che ho sempre ignorato


Piviul

[¹] https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=928178

Re: problemi con thunderbird

2019-04-30 Per discussione Nicola Ferrari (#554252) 

Il 29/04/2019 14:25, Piviul ha scritto:

Il 29/04/19 12:15, Nicola Ferrari (#554252) ha scritto:
scusa, ammetto che non ho seguito il post dall'inizio, ma da quel che 
posti sembra che c'entri apparmor...


Hai provato a disabilitare temporaneamente il profilo di thunderbird 
per vedere se è lui la causa?

aa-disable /etc/apparmor.d/usr.bin.thunderbird

forse c'è un qualche baco sul profilo apparmor di thunderbird per il 
quale non è prevista come permessa una scrittura che invece servirebbe...
In effetto avevo avuto questo sospetto anch'io e avevo trovato anch'io 
quel comando per disabilitare apparmor solo che aa-disable non lo avevo 
fra i pacchetti installati per quel motivo avevo provato a stoppare il 
servizio apparmor. Comunque ora ho installato apparmor-utils, dato il 
comando aa-disable /etc/apparmor.d/usr.bin.thunderbird ed ora 
thunderbird ha ripreso a funzionare.


Assodato quindi che dipende da apparmor secondo te a chi devo segnalare 
il problema?


Piviul




Dunque, inizierei innanzitutto a verificare il profilo apparmor per 
l'eseguibile di thunderbird


edita il file
/etc/apparmor.d/usr.bin.thunderbird

Nella sezione
# per-user thunderbird configuration

aggiungi alle altre una riga del tipo

owner @{HOME}/.{icedove,thunderbird}/**/.lock k,

che significa,
"nella home dell'utente, nelle cartelle .icedove oppure .thunderbird o 
sottocartelle, concedi permesso di lock al file .lock


prendi il nome del file dal log postato in precedenza

Poi dai
apparmor_parser -r /etc/apparmor.d/usr.bin.thunderbird

per ricaricare il profilo

aa-enforce /usr/bin/thunderbird
per riattivare il profilo

e verifica la situazione nel log, non dovresti piu' avere quei denied.

Per capire meglio apparmor e permessi: [2]

---

Da un punto di vista della segnalazione del bug, i profili apparmor sono 
mantenuti proprio dal team di apparmor [1].


Di conseguenza, la segnalazione andrebbe fatta a loro.

Potresti comunque provare a scaricare il profilo aggiornato al link [1] 
metterlo in /etc/apparmor.d/usr.bin.thunderbird e vedere se il problema 
si risolve: il profilo è per ubuntu, ma dovrebbe essere pienamente 
compatibile, e forse il problema è già stato risolto ma semplicemente il 
pacchetto debian non è aggiornato.


Ciao ciao!
HtH, N

[1] 
https://gitlab.com/apparmor/apparmor-profiles/blob/master/ubuntu/18.04/usr.bin.thunderbird


[2] https://wiki.itcollege.ee/index.php/Apparmor_and_its_usage











--
+-+
| Linux User  #554252 |
+-+