Debian Buster: libvirt & apparmor, dovecot & DH-Parameter

Ich habe gestern alle meine Systeme auf das neue Debian “buster” aktualisiert. Natürlich mache ich das immer so, wie man es auf keinen Fall machen sollte: Nichts lesen, keinerlei Vorbereitung, einfach updaten.

Und dafür lief’s eigentlich echt gut.

Ich hatte genau zwei kleine Stolpersteine, dich ich gerne kurz dokumentieren möchte:

Zunächst einmal startete anfangs keine meiner VMs mehr. Die Fehlermeldung war:

internal error: cannot load AppArmor profile 'libvirt-91d988e0-3a46-49c3-b5ce-d1903272e175'

Ursächlich lag das an folgendem, von den apparmor-Profilen nicht vorgesehenen Mount in der VM-Konfiguration (minimalisiert):

<filesystem type='mount' accessmode='mapped'>
  <source dir='/etc/crypto'/>
  <target dir='/etc/crypto'/>
</filesystem>

Was passiert ist anscheinend, dass ein Helper-Tool, welches intern aufgerufen wird, auf die Nase fällt:

/usr/lib/libvirt/virt-aa-helper -c -u libvirt-dca1e9f0-4cb9-4678-b1c8-9f9641945806) \
  unexpected exit status 1:
virt-aa-helper: error: /etc/crypto

Ich hab mir das jetzt nicht ursächlich angeschaut sondern die Source für den Mount einfach auf /srv/crypto geändert - dank Bind-Mounts ist das ja kein Ding.

Das zweite war Dovecot, da muss man jetzt Diffie-Hellman-Parameter angeben, das sagt er aber sogar beim Starten. Da die 4096 Bits groß sein müssen kann das wahrhaftig etwas dauern, die zu erzeugen, man sollte das also besser vor dem Update machen ;-)

Sehr cool an der ganzen Sache ist, dass jetzt alle Dienste, dich ich mir so angesehen habe, auch TLSv1.3 können - und damit ist dann Schluß mit den ganzen “Enterprise Security Devices”, die versuchen TLS auzubrechen.