Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:drucken:cups-apparmor]] 

CUPS und das Sicherheitstool apparmor

Problem: CUPS-PDF erzeugt keine Dateien, da es nicht in das home des Users schreiben kann.
Ursache: Das Sicherheitstool „apparmor“ blockiert den Zugriff. Dies kann man überprüfen durch:

# aptitude install apparmor-utils 
# aa-complain cupsd
# aa-complain cups-pdf

Dadurch wird die Blockierung temporär abgeschaltet, CUPS-PDF sollte dann funktionieren. Anschalten mit:

# aa-enforce cupsd
# aa-enforce cups-pdf

Dauerhafte Lösung: Neue Konfigurationsdatei zu apparmor erstellen: /etc/apparmor.d/tunables/home.d/linuxmuster:

linuxmuster
# fuer linuxmuster homes mit mehreren Verzeichnisebenen zulassen
#
@{HOME}+= @{HOMEDIRS}/**/

und Dienst neu starten:

# service apparmor restart

Dadurch kann CUPS-PDF auch in Home-Verzeichnisse schreiben, die mehrere Verzeichnisebenen haben, wie z.B. bei linuxmuster.net.

Weitere Voraussetzung: Unter /etc/appamor.d/ sollte für cups-pdf ein Profil existieren. Entweder innerhalb des cupsd-Profils oder separat:

usr.sbin.cups-pdf
# profile fuer cups-pdf
# separate profile to write into /home
 
/usr/lib/cups/backend/cups-pdf flags=(complain) {
  #include <abstractions/base>
  #include <abstractions/fonts>
  #include <abstractions/nameservice>
  #include <abstractions/user-tmp>
 
  capability chown,
  capability fowner,
  capability fsetid,
  capability setgid,
  capability setuid,
  capability dac_override,
  capability dac_read_search,
 
  /bin/dash ixr,
  /bin/bash ixr,
  /bin/cp ixr,
  /etc/papersize r,
  /etc/cups/cups-pdf.conf r,
  @{HOME}/PDF/ rw,
  @{HOME}/PDF/* rw,
  /usr/bin/gs ixr,
  /usr/lib/cups/backend/cups-pdf mr,
  /usr/lib/ghostscript/** mr,
  /usr/share/** r,
  /var/log/cups/cups-pdf_log w,
  /var/spool/cups/** r,
  /var/spool/cups-pdf/** rw,
  /etc/ldap/ldap.conf r,
}
 [[anwenderwiki:drucken:cups-apparmor]] anwenderwiki/drucken/cups-apparmor.txt · Zuletzt geändert: 2013/06/28 23:59 (Externe Bearbeitung)