<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi Seth, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">No, I haven't installed any program etc., that try to 'correct' system security and so on (not to mention security updates etc.) Strange. But... chown(1) command (which you provided) and system restart seems to help - I can open these files as a normal user and permission via ls(1) command seems to be okay: <br><br>$ ls -al /var/log/kern.log<br>-rw-r----- 1 syslog adm 78351 Nov 10 20:29 /var/log/kern.log<br>$ ls -al /var/log/syslog<br>-rw-r----- 1 syslog adm 0 Nov 10 20:33 /var/log/syslog<br><br>Thank You very much; for an answer and for checking a pristine 12.04 release settings. I forgot to mention an umask(2) setting: it's 077. So, maybe umask(2) is responsible for this situation. But I've never seen something like this before. <br><br>Anyway, for now I removed /etc/cron.daily/logrotate profile, because of this situation and a couple of new DENIED messages. It seems, that logrotate also "wants": <br><br>apparmor="DENIED" operation="capable" parent=2875 profile="/etc/cron.daily/logrotate" pid=2879 comm="logrotate" capability=1  capname="dac_override"<br><br>apparmor="DENIED" operation="capable" parent=2875 profile="/etc/cron.daily/logrotate" pid=2879 comm="logrotate" capability=2  capname="dac_read_search" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Should it be included in the profile? If yes: what is the best, secure method? And what about this: can you also check those rules? <br><br>/var/log/** rwl,    ## 'l'? <br><br>/etc/init.d/* mrix, <br><br>/tmp/logrot* rwl,    ## what is this? <br>/tmp w,    ## it's okay? <br>/tmp/file* wl,    ## and this one? <br><br>/dev/tty rw,    ## I don't like the 'rw' access for /dev/tty <br><br>@{PROC} r,    ## maybe use 'owner'? <br>@{PROC}/[1-9]* r, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Geez, so much thing... Seth, I'm sorry. If all mentioned things above are not needed at all, it seems that logrotate profile is bad. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div></div>