{{tag> cups apparmor}}

====== CUPS und das Sicherheitstool apparmor ======

**Problem:** CUPS-PDF erzeugt keine Dateien, da es nicht in das home des Users schreiben kann.\\
**Ursache:** Das Sicherheitstool "apparmor" blockiert den Zugriff. Dies kann man überprüfen durch:
  # aptitude install apparmor-utils 
  # aa-complain cupsd
  # aa-complain cups-pdf
Dadurch wird die Blockierung temporär abgeschaltet, CUPS-PDF sollte dann funktionieren. Anschalten mit:
  # aa-enforce cupsd
  # aa-enforce cups-pdf

**Dauerhafte Lösung:** Neue Konfigurationsdatei zu apparmor erstellen: ''/etc/apparmor.d/tunables/home.d/linuxmuster'':
<code text linuxmuster>
# fuer linuxmuster homes mit mehreren Verzeichnisebenen zulassen
#
@{HOME}+= @{HOMEDIRS}/**/

</code>
und Dienst neu starten:
  # service apparmor restart
Dadurch kann CUPS-PDF auch in Home-Verzeichnisse schreiben, die mehrere Verzeichnisebenen haben, wie z.B. bei linuxmuster.net.

**Weitere Voraussetzung:** Unter ''/etc/appamor.d/'' sollte für cups-pdf ein Profil existieren. Entweder innerhalb des cupsd-Profils oder separat:


<code text usr.sbin.cups-pdf>
# profile fuer cups-pdf
# separate profile to write into /home

/usr/lib/cups/backend/cups-pdf flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>

  capability chown,
  capability fowner,
  capability fsetid,
  capability setgid,
  capability setuid,
  capability dac_override,
  capability dac_read_search,

  /bin/dash ixr,
  /bin/bash ixr,
  /bin/cp ixr,
  /etc/papersize r,
  /etc/cups/cups-pdf.conf r,
  @{HOME}/PDF/ rw,
  @{HOME}/PDF/* rw,
  /usr/bin/gs ixr,
  /usr/lib/cups/backend/cups-pdf mr,
  /usr/lib/ghostscript/** mr,
  /usr/share/** r,
  /var/log/cups/cups-pdf_log w,
  /var/spool/cups/** r,
  /var/spool/cups-pdf/** rw,
  /etc/ldap/ldap.conf r,
}
</code>