[gelöst]apparmor: Wie Benachrichtigungen einschalten?

[debianoli]

Hi,
ich habe bei mir apparmor im Einsatz (Desktop-Rechner). Leider erfährt man nicht, wenn apparmor etwas blockt. Das treibt einen dann zur Verzweiflung, wenn man nicht weiß, warum ein Programm wie Thunderbird zB keine Mails verschlüsselt. Aber es gibt ein Paket apparmor-notify

Weiß jemand wie man apparmor-notify konfigurieren kann/muss, um Benachrichtigungen von apparmor zu erhalten? Oder geht da nicht? Ich finde leider keine man-PAges oder help-Seiten zu apparmor-notify

[JTH]

Ich finde leider keine man-PAges oder help-Seiten zu apparmor-notify

Es hilft dann immer, mal die Dateiliste des Pakets anzugucken. Entweder sieht man da den Namen der manpage(s) unter /usr/share/man oder den Namen der enthaltenen Programe unter /bin, /sbin etc., die eine manpage haben sollten. Hier ist’s man aa-notify.

Weiß jemand wie man apparmor-notify konfigurieren kann/muss, um Benachrichtigungen von apparmor zu erhalten?

Das Paket enthält eine .desktop-Datei für den Autostart, in der Hinsicht muss man wohl nix konfigurieren.

Jeder Benutzer, der aa-notify benutzen will, muss aber anscheinend Lesezugriff auf /var/log/kern.log oder /var/log/audit.log haben. Das hat ein normaler Benutzer nicht. Die manpage suggeriert da irgendwas mit sudo. Unter Debian reicht es aber, wenn ein Benutzer in der Gruppe adm ist, um die meisten klassischen Logdateien zu lesen. Also:

Code: Alles auswählen

# addgroup debianoli adm

Ach, und ein Paket, das einen notification-daemon anbietet, muss installiert sein.

[debianoli]

@JTH

Danke, das war's, jetzt läuft aa-notify. Hoffentlich merke ich mir das mit der Dateiliste eines Debian-Pakets, denn daran denkt man nicht sofort, wenn man nicht oft damit zu tun hat...

Man kann den Inhalt eines Pakets auch mit apt-file anzeigen lassen, dann muss man nicht über die Webseite suchen.

Code: Alles auswählen

apt-file list apparmor-notify
apparmor-notify: /etc/apparmor/notify.conf
apparmor-notify: /etc/xdg/autostart/apparmor-notify.desktop
apparmor-notify: /usr/bin/aa-notify
apparmor-notify: /usr/share/doc/apparmor-notify/README.Debian
apparmor-notify: /usr/share/doc/apparmor-notify/changelog.Debian.gz
apparmor-notify: /usr/share/doc/apparmor-notify/copyright
apparmor-notify: /usr/share/lintian/overrides/apparmor-notify
apparmor-notify: /usr/share/man/man8/aa-notify.8.gz

[JTH]

Code: Alles auswählen

apt-file list apparmor-notify
apparmor-notify: /etc/apparmor/notify.conf
apparmor-notify: /etc/xdg/autostart/apparmor-notify.desktop
apparmor-notify: /usr/bin/aa-notify
apparmor-notify: /usr/share/doc/apparmor-notify/README.Debian
apparmor-notify: /usr/share/doc/apparmor-notify/changelog.Debian.gz
apparmor-notify: /usr/share/doc/apparmor-notify/copyright
apparmor-notify: /usr/share/lintian/overrides/apparmor-notify
apparmor-notify: /usr/share/man/man8/aa-notify.8.gz

Ja, das geht natürlich auch. Und wenn du das Paket schon installiert hast, ist der schnellste Weg

Code: Alles auswählen

$ dpkg -L apparmor-notify

[willy4711]

Aus der Wiki:https://wiki.debian.org/AppArmor/Debug

The aa-notify command, from the apparmor-notify package, is able to provide a desktop notification whenever a program causes a DENIED message in /var/log/kern.log. Grant yourself read permissions for /var/log/kern.log by joining the adm group:

Hmmm kern.log kam doch von rsyslog wenn ich mich richtig erinnere ?
und der Startbefehl aus obiger WIKI ergibt (Xfce / Testing):

Code: Alles auswählen

 aa-notify -p 
Cannot read '/var/log/kern.log'

Heist das, man muss das überholte Rsyslog reaktivieren ?
In der Liste der Programm, die den Daemon (notification-daemon / xfce4-notifyd ) bedienen ist er auch noch nicht vorhanden, obwohl das sonst an sich
"on the Fly" geht.

[JTH]

Hmmm kern.log kam doch von rsyslog wenn ich mich richtig erinnere ?

Jupp.

Code: Alles auswählen

 aa-notify -p 
Cannot read '/var/log/kern.log'

Hat dein Benutzer Leserechte auf /var/log/kern.log?

Heist das, man muss das überholte Rsyslog reaktivieren ?

Ich bevorzuge auch das Journal, aber so ganz überholt ist rsyslog nun doch noch nicht. Es wird, da Priority: important, zumindest bei einer Debian-Installation weiterhin immer mitinstalliert.

In der Liste der Programm, die den Daemon (notification-daemon / xfce4-notifyd ) bedienen ist er auch noch nicht vorhanden, obwohl das sonst an sich "on the Fly" geht.

Wie genau meinst du das? Der rsyslod sollte einen notification-daemon bedienen?

[willy4711]

Hat dein Benutzer Leserechte auf /var/log/kern.log?

Ja klar (adm) aber die Datei gibt es halt nicht, da ich rsyslog seit zwei Jahren nicht mehr auf dem System habe.

Es wird, da Priority: important, zumindest bei einer Debian-Installation weiterhin immer mitinstalliert.

Wie gesagt, ich schmeiss es immer runter.

Wie genau meinst du das? Der rsyslod sollte einen notification-daemon bedienen?

So habe ich das verstanden. Steht ja auch in der /etc/apparmor/notify.conf

Code: Alles auswählen

# Set to 'no' to disable AppArmor notifications globally
show_notifications="yes"

# OPTIONAL - restrict using aa-notify to users in the given group
# (if not set, everybody who has permissions to read the logfile can use it)
# use_group="admin"

# OPTIONAL - custom notification message body
# message_body="This is a custom notification message."

# OPTIONAL - custom notification message footer
message_footer="For more information, visit https://wiki.debian.org/AppArmor"

Aber vielleicht muss ich mal warten, bis irgend etwas blockiert wird

[JTH]

So habe ich das verstanden. Steht ja auch in der /etc/apparmor/notify.conf

Na, rsyslogd kommuniziert nicht direkt mit einem notification-daemon. apparmor-notify pollt /var/log/kern.log für bestimmte Meldungen und benutzt dann notify-send um eine der X notification-daemon-Implementierungen zu benachrichtigen.

Aber vielleicht muss ich mal warten, bis irgend etwas blockiert wird

Das wäre natürlich hilfreich