GELÖST: ERROR 403 - Forbidden

Studi

Hallo zusammen,

ich erreiche nach Installation unter SUSE 15.4 mit setup.sh /web nicht. Admin geht.

/var/log/grommunio/nginx-web-error.log
[error] 19549#19549: *471 FastCGI sent in stderr: "Unable to open primary script: /usr/share/grommunio-web/index.php (Permission denied)" while reading response header from upstream, ...

/etc/php8/fpm/php-fpm.d/pool-grommunio-web.conf

[grommunio-web-pool]
; socket information
listen = /run/php-fpm/php-grommunio-web-fpm.sock
listen.mode = 0666
listen.owner = groweb
listen.group = groweb
listen.backlog = -1
; process privileges
user = groweb
group = groweb
; process management
pm = dynamic
pm.max_children = 150
pm.start_servers = 1
pm.min_spare_servers = 1
pm.max_spare_servers = 16
; additional tunables
request_terminate_timeout = 120s
php_admin_value[memory_limit] = 512M
rlimit_files = 131072
rlimit_core = unlimited
; logging
catch_workers_output = yes
php_admin_value[error_log] = /var/log/grommunio/fpm-web.log

php-fpm läuft.

ll /run/php-fpm/php-grommunio-web-fpm.sock
srw-rw-rw- 1 groweb groweb 0 Oct 11 07:39 /run/php-fpm/php-grommunio-web-fpm.sock

"chown groweb.groweb /usr/share/grommunio-web -R" brachte auch nix.

Kann nur eine Kleinigkeit sein. Wäre für einen Tipp dankbar.

Studi

sudo systemctl stop apparmor
sudo systemctl disable apparmor
Reboot

Brachte die Lösung. Sorry, bin neu auf SUSE.

WalterH

Bei mir läuft der Service:

# systemctl status apparmor
● apparmor.service - Load AppArmor profiles
     Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
     Active: active (exited) since Tue 2023-10-10 13:25:30 CEST; 2 days ago
   Main PID: 470 (code=exited, status=0/SUCCESS)

Oct 10 13:25:30 icc-grommunio apparmor.systemd[470]: Restarting AppArmor
Oct 10 13:25:30 icc-grommunio apparmor.systemd[470]: Reloading AppArmor profiles
Oct 10 13:25:30 icc-grommunio apparmor.systemd[488]: Warning from stdin (line 1): Cache: failed to add read only location '/usr/share/apparmor/cache', does not contain valid cache di>
Oct 10 13:25:30 icc-grommunio systemd[1]: Finished Load AppArmor profiles.

THE_FRICKLER

Bei mir auch:

[root@mail ~]# systemctl status apparmor
● apparmor.service - Load AppArmor profiles
Loaded: loaded (/usr/lib/systemd/system/apparmor.service; enabled; vendor preset: enabled)
Active: active (exited) since Thu 2023-10-12 03:00:34 CEST; 16h ago
Process: 452 ExecStart=/lib/apparmor/apparmor.systemd reload (code=exited, status=0/SUCCESS)
Main PID: 452 (code=exited, status=0/SUCCESS)

Okt 12 03:00:34 mail apparmor.systemd[452]: Restarting AppArmor
Okt 12 03:00:34 mail apparmor.systemd[452]: Reloading AppArmor profiles
Okt 12 03:00:34 mail apparmor.systemd[465]: Warning from stdin (line 1): Cache: failed to add read only location '/usr/share/apparmor/cache', does not contain >
Okt 12 03:00:34 mail systemd[1]: Finished Load AppArmor profiles.

BusinessTux

Ich stehe gerade vor dem selben Problem. apparmor blockiert webaccess. Den Service abschalten will ich aber auch nicht.

Auszug /var/log/audit/audit.log
type=AVC msg=audit(1703572510.233:240): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/grommunio-web/index.php" pid=2015 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=477 ouid=0
Mit abgeschaltetem apparmor (+ Neustart) lässt sich der Webaccess aufrufen. Mit aktiviertem apparmor (+ Neustart) nicht. Dann gehe ich mal auf die Suche.

BusinessTux

Die Ursache liegt wirklich an apparmor. Allerdings nur wenn man auch die apparmor Profile instaliert hat.

Ich weiß nicht wie sie auf den Server gekommen sind. Bei den anderen Installationen ist das Paket jedenfalls nicht vorhanden bzw. ist der Ordner /etc/apparmor.d fast leer

Mit den folgenden Regeln, die als lokale Erweiterung des Standard-Profils arbeiten funktioniert bei mir der webaccess wieder:

cat <<EOF >> /etc/apparmor.d/local/php-fpm
# vim: ft=apparmor

/usr/share/grommunio-web/** r,
/usr/share/grommunio-web/**/ r,
/usr/share/php-mapi/* r,

/etc/grommunio-web/* r,

/var/lib/grommunio-web/* r,
/var/lib/grommunio-web/session/ r,
/var/lib/grommunio-web/session/* rwk,
/var/lib/grommunio-web/tmp/session/** rwk,
/var/lib/grommunio-web/tmp/session/ rw,
/var/lib/grommunio-web/tmp/attachments/ rw,
/var/lib/grommunio-web/tmp/attachments/**/ rw,

# grommunio-sync
/usr/share/grommunio-sync/* r,

# /tmp
/tmp/* rw,

EOF

Na dann, frohe Weihnachten 😉

RideauTrio

BusinessTux
I know this is a little late to make a comment, but thankfully I found this entry from January 2024.

I recently moved my Grommunio install from an Ubuntu/LibVIRT / KVM on my workstation to a qemu VM on Proxmox Hypervisor running on a Dell PowerEdge R740xd server.

Once Grommunio was in its new install place, I did not do any zypper up for about a month. I wanted to ensure the Grommunio install was stable in its new home under Proxmox Hypervisor on the Dell R740xd server.

So, my install has run without issues for a month and I consider it stable on Proxmox.

Last night I did a zypper up ... there was a lot of updates to do.

After it finished, on the Webmail UI I was getting HTTP 403 error, but AdmWebUI https://192.168.x.x:8443 was working. The syslog had many errors regarding apparmor php-fpm profile.

An internet search for the error brought me to this thread, where the above solution by BusinessTux
So I created /etc/apparmor.d/local/php-fpm profile and then fixed my HTTP 403 error.

One other issue I noted was '/usr/share/gromox/' path was also being denied by apparmor, so I added the following two lines that are not shown in the above example from @BusinessTux:

/usr/share/gromox/** r, /usr/share/gromox/**/ r,

Appparmor now has no denied errors, and no HTTP 403 errors are experienced in the Webmail UI.

As others have commented (in German), I did not change anything in Grommunio configs, I simply ran the 'zypper up', and this broke my mailserver.

This seems to be a bug or something overlooked?

But thank you very much for the quick fix!

/var/log/syslog

<snip> (duplicate entries omitted)
udit: type=1400 audit(1716296741.983:72): apparmor="DENIED" operation="open" profile="php-fpm" name="**/usr/share/gromox**/cpid.txt" pid=1514 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 audit: type=1400 audit(1716296741.983:73): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/gromox/lcid.txt" pid=1514 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 audit: type=1400 audit(1716296741.983:74): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/gromox/lang_charset.txt" pid=1514 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 audit: type=1400 audit(1716296741.983:75): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/gromox/mime_extension.txt" pid=1514 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 audit: type=1400 audit(1716296741.983:76): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/gromox/folder_names.txt" pid=1514 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=0 ouid=0 audit: type=1400 audit(1716296786.025:80): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/grommunio-web/grommunio.php" pid=1577 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=480 ouid=480 audit: type=1400 audit(1716296862.624:85): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/grommunio-web/index.php" pid=1573 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=480 ouid=480 audit: type=1400 audit(1716296904.241:86): apparmor="DENIED" operation="open" profile="php-fpm" name="/usr/share/grommunio-sync/index.php" pid=1563 comm="php-fpm" requested_mask="r" denied_mask="r" fsuid=463 ouid=0

donald24

@BusinessTux

Ich hatte gestern ein neues erstes Letsencrypt-Zertifikat (vorher self-signed, dann LE mit Domainname-change) eingespielt, und kam nach einem Neustart nicht mehr auf auf das WEB-IF. Adminweb ging.

Deine Anpassungen haben sofort abgeholfen, kannst du mir die Ursache kurz erklären? Hätte ich wohlmöglich auch irgendwo eine Anpassung des Domainname-changes abgeholfen?

Anyway, danke für die Lösung!
Don

BusinessTux

Hallo Don,

Ursache ist das Paket "apparmor-profiles...". Das bringt die Standard-AppArmor-Konfiguration für php-fpm, das von Grommunio ja für die PHP-Umgebung genutzt wird. Scheinbar ist bei einem Update dieses Paket als Abhängigkeit von irgendeinem anderen Paket mitgekommen.

Eine Anpassung des Domainname-changes hat das aus meiner Sicht nur ausgelöst, weil Du php-fpm (oder die VM) neugestartet hast. Aber verhindern kannst Du es dadurch nicht. Verhindern geht nur per Deinstallation des Paketes (ok), Deaktivierung von apparmor (Holzhammermethode = nicht ok) oder Konfiguration von apparmor wie oben beschrieben. apparmor ist ein Stück Sicherheit und für einen im Internet erreichbaren Server sollte man davon so viel wie möglich einsetzen.

Ulf