<div dir="ltr"><div>Package: ntp</div><div>Version: <span style="color:rgb(0,0,0);font-family:monospace">1:4.2.8p10+dfsg-1</span></div><div><span style="color:rgb(0,0,0);font-family:monospace"><br></span></div><div><span style="color:rgb(0,0,0);font-family:monospace">Hi,</span></div><div><span style="color:rgb(0,0,0);font-family:monospace">while clearing out for the next merge of ntp in Ubuntu I collected a set of changes worth to be fixed in Debian as well. So contributing those changes here for you to pick up.</span></div><div><span style="color:rgb(0,0,0);font-family:monospace"><br></span></div><div><span style="color:rgb(0,0,0);font-family:monospace">When using windbind fully set up and with apparmor enabled you will get ntpd denies like the following:</span></div><div><font color="#000000" face="monospace">May 17 16:23:15 bo kernel: [ 27.598551] type=1400 audit(1463494995.048:18): apparmor="DENIED" operation="connect" profile="/usr/sbin/ntpd" name="/run/samba/winbindd/pipe" pid=1517 comm="ntpd" requested_mask="rw" denied_mask="rw" fsuid=0 ouid=0</font><br></div><div><font color="#000000" face="monospace"><br></font></div><div><font color="#000000" face="monospace">The change itselt would be rather easy and in a discussion no one saw a security risk in opening this up:</font></div><div><font color="#000000" face="monospace"><br></font></div><div><span style="font-family:monospace"><span style="font-weight:bold;color:rgb(0,0,0)">diff --git a/debian/apparmor-profile b/debian/apparmor-profile</span><span style="color:rgb(0,0,0)">
</span><br><span style="font-weight:bold;color:rgb(0,0,0)">index 644dc29..d92ac64 100644</span><span style="color:rgb(0,0,0)">
</span><br><span style="font-weight:bold;color:rgb(0,0,0)">--- a/debian/apparmor-profile</span><span style="color:rgb(0,0,0)">
</span><br><span style="font-weight:bold;color:rgb(0,0,0)">+++ b/debian/apparmor-profile</span><span style="color:rgb(0,0,0)">
</span><br><span style="color:rgb(24,178,178)">@@ -71,6 +71,9 @@</span><span style="color:rgb(0,0,0)">
</span><br>   # samba4 ntp signing socket
<br>   /{,var/}run/samba/ntp_signd/socket rw,
<br>  <br><span style="color:rgb(24,178,24)">+  # samba4 winbindd pipe</span><span style="color:rgb(0,0,0)">
</span><br><span style="color:rgb(24,178,24)">+  /run/samba/winbindd/pipe rw,</span><span style="color:rgb(0,0,0)">
</span><br><span style="color:rgb(24,178,24)">+</span><span style="color:rgb(0,0,0)">
</span><br>   # For use with clocks that report via shared memory (e.g. gpsd),
<br>   # you may need to give ntpd access to all of shared memory, though
<br>   # this can be considered dangerous. See <a href="https://launchpad.net/bugs/722815">https://launchpad.net/bugs/722815</a><br></span></div><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><span style="color:rgb(136,136,136);font-size:12.8px">Christian Ehrhardt</span><div style="color:rgb(136,136,136);font-size:12.8px">Software Engineer, Ubuntu Server</div><div style="color:rgb(136,136,136);font-size:12.8px">Canonical Ltd</div></div></div></div></div>
</div>