Kde sehnat Apparmor profil pro vsftpd

[RNA]

Marně sháním soubor usr.sbin.vsftpd, který je sice inzerovaný zde: http://packages.ubuntu.com/en/lucid/i386/apparmor-profiles/filelist
ale když jsem spáchal toto:
apt-get install apparmor-profiles, tak jsem získal pouze:

abstractions    tunables                           usr.sbin.cupsd
apache2.d       usr.bin.evince                     usr.sbin.dnsmasq
bin.ping        usr.bin.firefox                    usr.sbin.dovecot
cache           usr.lib.dovecot.deliver            usr.sbin.identd
disable         usr.lib.dovecot.dovecot-auth       usr.sbin.mdnsd
force-complain  usr.lib.dovecot.imap               usr.sbin.nmbd
program-chunks  usr.lib.dovecot.imap-login         usr.sbin.nscd
sbin.dhclient3  usr.lib.dovecot.managesieve-login  usr.sbin.smbd
sbin.klogd      usr.lib.dovecot.pop3               usr.sbin.tcpdump
sbin.syslogd    usr.lib.dovecot.pop3-login         usr.sbin.traceroute
sbin.syslog-ng  usr.sbin.avahi-daemon

Bohužel vsftpd tam není. Nějakou dobu jsem koukal do manuálu i do výše uvedených souborů, že bych si to jako napsal sám, ale to bych musel přesně vědět, jaké všechny soubory vsftpd při své činnosti potřebuje. Kdybych měl funkční vzor, drobné úpravy bych už si udělal.   Protože provozuji FTP server bez SSL, chtěl bych alespoň co nejvíc omezit možnosti případných záškodníků.
Soudruh Google v tomto případě jen mlží, nebo směruje někam jinam.

[arrange]

Ale je to tam, špatně jsi hledal  

Kód: [Vybrat]

# $Id$
# ------------------------------------------------------------------
#
#    Copyright (C) 2002-2005 Novell/SUSE
#
#    This program is free software; you can redistribute it and/or
#    modify it under the terms of version 2 of the GNU General Public
#    License published by the Free Software Foundation.
#
# ------------------------------------------------------------------

#include <tunables/global>

/usr/sbin/vsftpd {
  #include <abstractions/base>
  #include <abstractions/nameservice>
  #include <abstractions/authentication>

  /dev/urandom               r,
  /etc/fstab                 r,
  /etc/hosts.allow           r,
  /etc/hosts.deny            r,
  /etc/mtab                  r,
  /etc/shells             r,
  /etc/vsftpd.*              r,
  /etc/vsftpd/*              r,
  /usr/sbin/vsftpd     rmix,
  /var/log/vsftpd.log        w,
  /var/log/xferlog           w,
  # anon chroots
  /                          r,
  /pub                       r,
  /pub/**                    r,
  @{HOMEDIRS}                r,
  @{HOME}/**                 rwl,
}


[RNA]

Zkopíroval jsem to vocuď, nenašel jsem...  Dík.   

[RNA]

Ale nedaří se... jakmile na to vsftpd spustím apparmor, tak se nepřihlásím:
11:58:13   Stav:   Připojuji se k 88.xxx.xxx.xx:21
11:58:13   Stav:   Spojení navázáno, čekám na uvítací zprávu...
11:58:13   Odpověď:   500 OOPS: setgroups
11:58:13   Chyba:   Kritická chyba
11:58:13   Chyba:   Nelze se spojit se serverem


Na různé 500 OOPS: setgroups jsem vygůglil ledacos, jen ne odpověď. 
Co mu může vadit?  Je tam jediný uživatel ftp s adresářem /home/ftp.

[arrange]

Co píše apparmor do syslog?

[RNA]

Nějak takhle:
Jun 23 20:28:20 minik kernel: [31791.047861] type=1505 audit(1277317700.815:114):
Jun 23 20:28:20 minik kernel: [31791.128929] type=1505 audit(1277317700.899:115):
Jun 23 20:28:20 minik kernel: [31791.209806] type=1505 audit(1277317700.979:116):
Jun 23 20:28:21 minik kernel: [31791.384111] type=1505 audit(1277317701.152:117):
Jun 23 20:28:21 minik kernel: [31791.541278] type=1505 audit(1277317701.312:118):
Jun 23 20:28:22 minik kernel: [31793.119025] lo: Disabled Privacy Extensions
Jun 23 20:28:23 minik kernel: [31793.542616] lo: Disabled Privacy Extensions
Jun 23 20:28:46 minik init: vsftpd main process (1860) killed by TERM signal
Jun 23 20:28:55 minik kernel: [31826.096335] __ratelimit: 39 callbacks suppressed
Jun 23 20:28:55 minik kernel: [31826.096342] type=1503 audit(1277317735.867:132):
Jun 23 20:28:55 minik kernel: [31826.098804] type=1503 audit(1277317735.867:133):

Ovšem právě jsem zjistil, že problém nevypukne hned s restartem apparmoru, ale až s restartem vsftpd v době, kdy je aktivní jeho profil. To znamená, že vsftpd během startu nějak narazí na omezení, která mu postaví do cesty apparmor.
Nicméně je v procesech,
2981 ?        Ss     0:00 /usr/sbin/vsftpd
jenom tak nějak nefunguje.

Edit:  a když pak kilnu a ručně spustím vsftpd , tak napíše 500 OOPS: could not bind listening IPv4 socket. Tohle bude asi ten problém.

[arrange]

Tady už neporadím bo nevim. Jestli je ale pravda, co píšeš, tj. jsem spáchal toto: apt-get install apparmor-profiles, pak bych ty nové profily prozatím zrušil a pozapínal je poté případně po jednom.

[RNA]

......
 network,
  capability net_admin,
  capability net_bind_service,



Oprava později: byl jsem příliš rychlý, stále to nechodí...