Hallo zusammen,
ich verwende unter KDE neon (basierend auf 16.04) das AppArmor-Profil für Firefox und habe mir welche mit aa-logprof zusammen gebastelt für Thunderbird, Okular und Gwenview. Sie funktionieren auch sehr gut - mit einer Ausnahme: Versuche ich in diesen Anwendungen, etwas auszudrucken, wird mir als einzige Option das Drucken in eine Datei angeboten.
Das Verwirrende für mich ist, dass dieses Problem auch dann auftritt, wenn ich die Profile in den complain-Modus schalte. Wie kann das denn sein? Wären sie im enforce-Modus, würde ich sagen: Klar, es fehlt 'ne entsprechende Regel. Aber im complain-Modus? Auch aa-logprof meldet nichts. Nur wenn ich das Profil mit aa-disable deaktiviere,funktioniert es wieder.
Auch wenn aa-logprof nichts meldet, habe ich im Journal folgendes gefunden (wieso eigentlich?):
Dez 28 13:18:39 UBUNTU audit[23315]: AVC apparmor="ALLOWED" operation="connect" info="Failed name lookup - disconnected path" error=-13 profile="/usr/bin/okular" name="run/cups/cups.sock" pid=23315 comm="okular" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0 Dez 28 13:18:39 UBUNTU kernel: audit: type=1400 audit(1482927519.467:3006): apparmor="ALLOWED" operation="connect" info="Failed name lookup - disconnected path" error=-13 profile="/usr/bin/okular" name="run/cups/cups.sock" pid=23315 comm="okular" requested_mask="wr" denied_mask="wr" fsuid=1000 ouid=0
Das Hinzufügen der Regel
1 | /run/cups/cups.sock rw, |
bringt aber auch nichts. Hat sonst noch jemand eine Idee?
EDIT: Es hat auch nichts gebracht, das Profil für /usr/sbin/cupsd in den complain-Modus zu versetzen.