<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Hi<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I would like to ask a question about capability that should be used according to this yesterday log message: <br><br>Nov 20 12:46:39 t4 kernel: [ 1603.727849] type=1400 audit(1479642399.936:90): apparmor="DENIED" operation="capable" parent=3192 profile="/etc/cron.daily/logrotate" pid=3197 comm="logrotate" capability=0  capname="chown" <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">It should be: 'capability chown,'. Am I right? If yes then logrotate profile need, at least, three capabilities: <br><br>capability dac_override, <br>capability dac_read_search, <br>capability chown, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">And, if rules mentioned earlier are OK to use, then we also need to add: <br><br>/usr/bin/head mrix, <br>/usr/sbin/invoke-rc.d mrix, <br>/bin/sleep mrix, <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">## According to: requested_mask="r" denied_mask="r" <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">/var/lib/logrotate/ r, <br>/var/lib/logrotate/* rw, <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br>## And this one: name="/var/lib/logrotate/status" <br>## requested_mask="wc" denied_mask="wc" <br>/var/lib/logrotate/status ??, <br><br>What is your opinion about this? Maybe the lack of 'capability chown' is responsible for changing /var/log/kern.log and syslog files permissions etc.? I hope, at least, that's all the things, and the logrotate profile can be updated. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Best regards. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif"><br><br></div></div>