TB akzeptiert keine per Posix ACL zugreifbaren Dateien mehr

    Hallo,

    schon länger nervt es mich das TB keine Dateien zum Anhängen mehr akzeptiert die nicht auch normalen Lesezugriff haben.

    Ich nutze Debian Linux Buster 10.13 mit TB 102.10.0-1~deb10u1 derzeit aber das Problem existiert schon mindestens seit Version 92.

    Irgendwann in älteren Versionen ging es noch ohne Probleme.

    Hintergrund:

    Ich benutze verschiedene Accounts auf dem gleichen PC für diverse Dinge. So verwende ich meinen FF unter einem eigenen Account mittel X-Umleitung.

    Die Dateien die ich da dann speichere sind natürlich erst mal mit den normalen POSIX-Rechten in dessen Downloadverzeichnis abgelegt. Allerdings habe ich auf dem Downloadsverzeichnis eine POSIX-ACL Regel angelegt, das mein TB Nutzer volle Rechte auf die Dateien und Unterverzeichnisse bekommt. Der TB Nutzer darf also alle Dateien lesen, schreiben und löschen.

    Nun mit dem TB Nutzer bei dem man sehen kann das die Datei vom tbnutzer zugreifbar ist:

    Aber wenn ich dann mit dem vom TB Nutzer gestarteten TB die Datei in einer Mail angehängt und versenden möchte bekomme ich die Fehlermeldung:

    Senden der Nachricht fehlgeschlagen.

    Es gab einen Fehler beim Anhängen von testfile. Bitte überprüfen Sie, ob Sie ausreichende Zugriffsrechte auf die Datei besitzen.

    Wenn ich aber dem other dann einfach zusätzlich die Rechte read gebe oder den Owner auf den tb Nutzer ändere dann lässt sich die Datei versenden. Das ist aber nicht in meinem Sinn denn dann macht zumindest für TB die ACL keinen Sinn. Wie geschrieben, das war nicht immer so.

    Das sieht nach einem PreCheck bevor dann versicht wird die Datei zu laden. Vielleicht kennt jemand dann eine Möglichkeit diesen über die Konfiguration abzuschalten?

    Ich halte das ansonsten für einen Fehler und würde einen Bug eröffnen. Gerne lese ich mir dann aber auch Meinungen dazu durch.
    Wenn jemand ein gegenteiliges Verhalten beobachtet dann liegt es vielleicht doch nicht an TB. Dann wäre ein Hinweis schön.

    MfG

    Ich stelle gerade fest das nicht mal read Rechte auf other helfen. Der owner muss thunderbird sein.

    Als ich dann weiter nachgesehen habe konnte ich den Schuldigen ausfindig machen:

    apparmor.

    Ich habe keine Ahnung wann und wie das da rauf gekommen ist. Aber es scheint daran zu liegen, da ich in den audit logs passende Meldungen gefunden habe.

    Code
    [2729128.947389] audit: type=1400 audit(1682681087.843:14943): apparmor="DENIED" operation="open" profile="thunderbird" name="/home/firefox/Downloads/testfile" pid=23128 comm="thunderbird-bin" requested_mask="r" denied_mask="r" fsuid=1004 ouid=1003
[2729131.031841] audit: type=1400 audit(1682681089.927:14944): apparmor="DENIED" operation="open" profile="thunderbird" name="/home/firefox/Downloads/testfile" pid=23128 comm=53747265616D547E73202331333538 requested_mask="r" denied_mask="r" fsuid=1004 ouid=1003

    Ich muss mal nachsehen wie ich das behebe.

    So, ich habe eine nicht sehr elegante aber immerhin eine Lösung gefunden die erst mal hilft:

    Ich erlaube allen Usern per AppArmor auf /home/firefox/Downloads/* per rw zuzugreifen.
    Die ACL selber begrenzen dann den Zugriff so dass nur firefox- und thunderbird-User darauf zugreifen können sollten.


    Dazu habe ich in

    /etc/apparmor.d/usr.bin.thunderbird

    den letzten Eintrag aktiviert der weitere Regeln aus der

    /etc/apparmor.d/local/usr.bin.thunderbird
    einliest und in dieser diese Zeile hinzugefügt

    /home/firefox/{Downloads,Documents}/* rw,

    Ich würde das gerne auf den User thunderbird beschränken aber weiss jetzt nicht wie man userspezifische Regeln definiert. Eigentlich wäre es toll der user firefox kann für seine eigenen Verzeichnisse eigene AppAmor Regeln ergänzen.

    Hat jemand einen besseren Vorschlag?

  • Community-Bot 3. September 2024 um 20:50

    Hat das Thema geschlossen.