AppArmor Profil für /usr/lib/postfix/sbin/master

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

AppArmor Profil für /usr/lib/postfix/sbin/master

Josef Kranzer
Hallo,

leider bin ich wieder einmal mit meinem Wissen am Ende und hoffe auch Hilfe 😉
Ich würde gerne den Postfix auf meinen neuen Server (Ubuntu 16.04.3) mittels AppArmor isolieren. 

Ich habe mir daher ergoggelt wie ich zu weiteren Profilen komme und dann folgendes gemacht:
sudo -s
apt-get install apparmor-utils apparmor-profiles apparmor-profiles-extra
cd /usr/share/doc/apparmor-profiles/extras/
cp ./*postfix* usr.sbin.post* /etc/apparmor.d/
cp usr.bin.procmail usr.sbin.sendmail /etc/apparmor.d/
aa-enforce /etc/apparmor.d/*postfix*
aa-enforce /etc/apparmor.d/usr.sbin.post*
aa-enforce /etc/apparmor.d/usr.bin.procmail
aa-enforce /etc/apparmor.d/usr.sbin.sendmail
reboot now 

Leider teilt mir aa-unconfined mit das /usr/lib/postfix/sbin/master nicht confined ist.
Da laut Netstat dies die Anwendung ist, welche auf TCP Port 25 hört, ist meiner, zugebenweise laienhaften, Meinung nach dies die Anwendung welche geschützt werden sollte.  
Ich finde leider auch kein AppAmor Profil welches für /usr/lib/postfix/sbin/master zu sein scheint. Kann mir jemand sagen was ich falsch mache bzw. wo mein Denkfehler ist?

Besten Dank

Lg
Reply | Threaded
Open this post in threaded view
|

Re: AppArmor Profil für /usr/lib/postfix/sbin/master

Christian Boltz-2
Hallo Josef, hallo zusammen,

Am Montag, 2. Oktober 2017, 16:18:25 CEST schrieb Josef Kranzer:

> leider bin ich wieder einmal mit meinem Wissen am Ende und hoffe auch
> Hilfe 😉
> Ich würde gerne den Postfix auf meinen neuen Server (Ubuntu 16.04.3)
> mittels AppArmor isolieren.
>
> Ich habe mir daher ergoggelt wie ich zu weiteren Profilen komme und
> dann folgendes gemacht:
> sudo -s
> apt-get install apparmor-utils apparmor-profiles
> apparmor-profiles-extra cd /usr/share/doc/apparmor-profiles/extras/
> cp ./*postfix* usr.sbin.post* /etc/apparmor.d/
> cp usr.bin.procmail usr.sbin.sendmail /etc/apparmor.d/
> aa-enforce /etc/apparmor.d/*postfix*
> aa-enforce /etc/apparmor.d/usr.sbin.post*
> aa-enforce /etc/apparmor.d/usr.bin.procmail
> aa-enforce /etc/apparmor.d/usr.sbin.sendmail
> reboot now

Postfix neu starten hätte wohl auch gereicht, aber sicher ist sicher ;-)

> Leider teilt mir aa-unconfined mit das /usr/lib/postfix/sbin/master
> nicht confined ist.
> Da laut Netstat dies die Anwendung ist, welche auf TCP Port 25 hört,
> ist meiner, zugebenweise laienhaften, Meinung nach dies die Anwendung
> welche geschützt werden sollte.
> Ich finde leider auch kein AppAmor Profil welches für
> /usr/lib/postfix/sbin/master zu sein scheint. Kann mir jemand sagen
> was ich falsch mache bzw. wo mein Denkfehler ist?

Kein Denkfehler, nur ein "falscher" Pfad ;-)

Es gibt ein AppArmor-Profil für /usr/lib/postfix/master (ohne ../sbin/..)
und auch Profile für die diversen Postfix-"Unterprogramme" bei den
Profilen, die im Upstream-AppArmor-Repo unter "extras" (also
standardmäßig nicht aktive Profile) liegen. Das führt dann leider auch
dazu, dass diese Profile eher weniger gepflegt werden.

Einige der Postfix-Profile habe ich vor kurzem aktualisiert - falls Du die
(statt der alten Version im Ubuntu-Paket) verwenden willst, mach einen
Checkout des aktuellen AppArmor-Repos auf Launchpad.

Die Pfade musst Du aber trotzdem anpassen, am Besten so:
    /usr/lib/postfix/{sbin/,}master
(das deckt den Pfad mit und ohne .../sbin/... ab) und reichst das dann
als Patch ein ;-)

So, und jetzt der Haken an dieser Mail: Ich benutze openSUSE, daher weiß
ich nicht genau, was Ubuntu an Profilen ausliefert. Anhand der Befehle,
die Du ausgeführt hast, gehe ich aber davon aus, dass Du tatsächlich die
"extra"-Profile kopiert hast.

Falls ich mich da getäuscht habe und/oder Du mehr Hilfe benötigst, zeig
bitte die Ausgabe von   aa-status   - das sollte alle relevanten Infos
zu den geladenen Profilen liefern (von mir aus kannst Du Profile, die
nichts mit Postfix zu tun haben, rauskürzen - pass aber auf, dass Du die
Überschriften stehenlässt.)

Außerdem bitte die Ausgabe von   aa-unconfined   damit ich die
tatsächlichen Pfade sehe.


Gruß

Christian Boltz
--
> Wrong ;-)
Ah, diplomacy at its finest.
[> Christian Boltz and Steve Beattie in apparmor]