updatedb Fehler "Unknown group nobody" -> plocate.db veraltet

[wbwb]

Mir ist heute aufgefallen, dass meine plocate Datenbank unter Tumbleweed, (z.Zt. Version 20260217) schon seit gut einem Monat nicht mehr upgedatet wird.
Deshalb habe ich updatedb einmal manuell (als su) ausgeführt und dabei folgenden Fehler erhalten

updatedb
Unknown group nobody

Besagte Gruppe gibt es natürlich auf dem System

less /etc/passwd | grep nob
nobody:x:65534:65534:nobody:/var/lib/nobody:/usr/sbin/nologin

Das ist mir zu hoch.
"Früher" gab es mal Probleme damit ob man updatedb als nobody oder als root laufen lies. Habe ich beides ausprobiert. Ändert aber nix.
Nebenan steht eine etwas ältere Tumbleweed Version 20251211 auf der updatedb problemlos läuft.
(In der älteren Version hat die Gruppe nobody eine shell /bin/bash statt /usr/sbin/nologin ... das hilft aber auch nichts.)

Weiß jemand was hier los ist und wie ich updatedb wieder zu Laufen bekomme?

 

[susejunky]

Nebenan steht eine etwas ältere Tumbleweed Version 20251211 auf der updatedb problemlos läuft.

Verwenden beide Tumbleweed-Systeme selinux?

 

[wbwb]

Beide Systeme sind noch vor dem Wechsel bei Tumbleweed von apparmor zu selinux aufgesetzt worden und verbleiben ohne selinux. Auf beiden Systemen ist dementsprechend auch systemctl status apparmor.service enabled und active.

 

[susejunky]

Auf beiden Systemen ist dementsprechend auch systemctl status apparmor.service enabled und active

... und die aktuelle Version von plocate-apparmor ist auch installiert?

 

[wbwb]

auf dem "aktuelleren" System

zypper packages --installed-only | grep plocate
i+ | Main Repository (OSS)     | plocate               | 1.1.24-1.1      | x86_64
i  | Main Repository (OSS)     | plocate-apparmor      | 1.1.24-1.1      | noarch

(wie geschrieben, war der letzte zypper dup dort am 17.2.) auf dem weniger aktuellen System das gleiche nur mit 1.1.24-1.1 -> 1.1.23-2.2

 

[susejunky]

Vorab: Ich verwende plocate nicht (und ich nutze auch nicht apparmor sonder selinux).

... dem weniger aktuellen System das gleiche nur mit 1.1.24-1.1 -> 1.1.23-2.2

Hast Du geprüft, ob es bei der Aktualisierung irgendwelche apparmor-Regeln geändert wurden?

 

[wbwb]

Vorab: Ich verwende plocate nicht (und ich nutze auch nicht apparmor sonder selinux).

Na ja, aber die Idee mit apparmor ist ja schon mal "nicht schlecht"
Mir war gar nicht bewusst, dass man hier wiedermal ein Kuckucksei im Nest hat, aber Du hast recht, apparmor kontrolliert updatedb und plocate

~ # aa-status
apparmor module is loaded.
172 profiles are loaded.
89 profiles are in enforce mode.
   ...
   /usr/bin/{p,}locate
   /usr/{bin,sbin}/updatedb
   ...

Ob das wirklich mit besagtem Konflikt zusammenhängt, können wir dann ja auch noch ein wenig weiter eruieren. Im apparmor audit log findet sich (nur) auf der Maschine mit Problemen folgendes

/var/log/audit # tail -F audit.log
...
type=AVC msg=audit(1771781153.377:499): apparmor="DENIED" operation="open" class="file" profile="/usr/{bin,sbin}/updatedb" name="/etc/nsswitch.conf" pid=18240 comm="updatedb" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
type=AVC msg=audit(1771781153.377:500): apparmor="DENIED" operation="open" class="file" profile="/usr/{bin,sbin}/updatedb" name="/usr/etc/nsswitch.conf" pid=18240 comm="updatedb" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
type=AVC msg=audit(1771781153.377:501): apparmor="DENIED" operation="open" class="file" profile="/usr/{bin,sbin}/updatedb" name="/etc/group" pid=18240 comm="updatedb" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
...

Das apparmor="DENIED" klingt natürlich unfreundlich - und bezieht sich genau auch auf /etc/group.
Also könnte man ja auch noch ein strace vom updatedb machen. Warum strace? Weil der verbose Modus von updatedb bei mir genauso wenig Info wie der normale Modus ergibt. Also

~ # strace updatedb
execve("/sbin/updatedb", ["updatedb"], 0x7ffe72c8e390 /* 63 vars */) = 0
... blablabla ...
openat(AT_FDCWD, "/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = -1 EACCES (Permission denied)
openat(AT_FDCWD, "/usr/etc/nsswitch.conf", O_RDONLY|O_CLOEXEC) = -1 EACCES (Permission denied)
openat(AT_FDCWD, "/etc/group", O_RDONLY|O_CLOEXEC) = -1 EACCES (Permission denied)
write(2, "Unknown group nobody\n", 21Unknown group nobody
)  = 21
exit_group(1)                           = ?
+++ exited with 1 +++

Und ja, man sieht, dass die Fehlermeldung mit der updatedb gegenüber dem Nutzer abbricht anscheinend daher kommt, dass der Zugriff auf drei Dateien und insbesondere auf die Liste der Gruppen nicht erlaubt wird?!?!

Das grenzt den Fehler doch hoffentlich ein.
Da ich mich aber mit den Innereien von apparmor nicht auskenne weiß jetzt nicht wie man das fixed?

 

[susejunky]

Da ich mich aber mit den Innereien von apparmor nicht auskenne weiß jetzt nicht wie man das fixed?

Tut mir leid, aber wie bereits gesagt, mit apparmor kenne ich mich nicht aus.