<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Today I've noticed - in log files - some AppArmor entries related to the /etc/cron.daily/logrotate profile. I would like to ask about rules, which I should add to this profile. And here are messages from /var/log/kern.log and /var/log/syslog files (I omitted some info, like date, paretn= etc.): <br><br>1)<br>apparmor="DENIED" operation="mknod" profile="/etc/cron.daily/logrotate" name="/var/lib/logrotate/status.clean" pid=2777 comm="logrotate" requested_mask="c" denied_mask="c" ## NOTE: there is no such file in my system but only 'status' <br><br>2)<br>apparmor="DENIED" operation="exec" profile="/etc/cron.daily/logrotate" name="/bin/sed" pid=2778 comm="logrotate" requested_mask="x" denied_mask="x" <br><br>3)<br>apparmor="DENIED" operation="exec" profile="/etc/cron.daily/logrotate" name="/bin/mv" pid=2780 comm="logrotate" requested_mask="x" denied_mask="x" <br><br>4)<br>apparmor="DENIED" operation="open" parent=2777 profile="/etc/cron.daily/logrotate" name="/var/lib/logrotate/" pid=2781 comm="logrotate" requested_mask="r" denied_mask="r" <br><br>5)<br>apparmor="DENIED" operation="open" profile="/etc/cron.daily/logrotate" name="/etc/logrotate.d/" pid=2781 comm="logrotate" requested_mask="r" denied_mask="r" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I'm using pretty simple profile (similar to this one [1]). So, should I add something like this to my existing profile?:<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">1) /var/lib/logrotate/status rw,   ## it's sufficient to *_mask="c"?<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">2) /bin/sed x,  ## or: mixr, <br>3) /bin/mv x,   ## or: mixr,<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">4) /var/lib/logrotate/ r,<br>    /var/lib/logrotate/* r,<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">5) /etc/logrotate.d/ r,<br>    /etc/logrotate.d/* r,<br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">AppArmor version is: 2.7.102-0ubuntu3.10 <br>Release: 12.04 LTS <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">_____________<br><a href="https://apt-browse.org/browse/ubuntu/trusty-security/main/all/apparmor-profiles/2.8.95~2430-0ubuntu5.1/file/usr/share/doc/apparmor-profiles/extras/etc.cron.daily.logrotate">https://apt-browse.org/browse/ubuntu/trusty-security/main/all/apparmor-profiles/2.8.95~2430-0ubuntu5.1/file/usr/share/doc/apparmor-profiles/extras/etc.cron.daily.logrotate</a><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div>