Hallo Josef, hallo zusammen,
Am Montag, 2. Oktober 2017, 16:18:25 CEST schrieb Josef Kranzer:
leider bin ich wieder einmal mit meinem Wissen am Ende und hoffe auch Hilfe 😉 Ich würde gerne den Postfix auf meinen neuen Server (Ubuntu 16.04.3) mittels AppArmor isolieren.
Ich habe mir daher ergoggelt wie ich zu weiteren Profilen komme und dann folgendes gemacht: sudo -s apt-get install apparmor-utils apparmor-profiles apparmor-profiles-extra cd /usr/share/doc/apparmor-profiles/extras/ cp ./*postfix* usr.sbin.post* /etc/apparmor.d/ cp usr.bin.procmail usr.sbin.sendmail /etc/apparmor.d/ aa-enforce /etc/apparmor.d/*postfix* aa-enforce /etc/apparmor.d/usr.sbin.post* aa-enforce /etc/apparmor.d/usr.bin.procmail aa-enforce /etc/apparmor.d/usr.sbin.sendmail reboot now
Postfix neu starten hätte wohl auch gereicht, aber sicher ist sicher ;-)
Leider teilt mir aa-unconfined mit das /usr/lib/postfix/sbin/master nicht confined ist. Da laut Netstat dies die Anwendung ist, welche auf TCP Port 25 hört, ist meiner, zugebenweise laienhaften, Meinung nach dies die Anwendung welche geschützt werden sollte. Ich finde leider auch kein AppAmor Profil welches für /usr/lib/postfix/sbin/master zu sein scheint. Kann mir jemand sagen was ich falsch mache bzw. wo mein Denkfehler ist?
Kein Denkfehler, nur ein "falscher" Pfad ;-)
Es gibt ein AppArmor-Profil für /usr/lib/postfix/master (ohne ../sbin/..) und auch Profile für die diversen Postfix-"Unterprogramme" bei den Profilen, die im Upstream-AppArmor-Repo unter "extras" (also standardmäßig nicht aktive Profile) liegen. Das führt dann leider auch dazu, dass diese Profile eher weniger gepflegt werden.
Einige der Postfix-Profile habe ich vor kurzem aktualisiert - falls Du die (statt der alten Version im Ubuntu-Paket) verwenden willst, mach einen Checkout des aktuellen AppArmor-Repos auf Launchpad.
Die Pfade musst Du aber trotzdem anpassen, am Besten so: /usr/lib/postfix/{sbin/,}master (das deckt den Pfad mit und ohne .../sbin/... ab) und reichst das dann als Patch ein ;-)
So, und jetzt der Haken an dieser Mail: Ich benutze openSUSE, daher weiß ich nicht genau, was Ubuntu an Profilen ausliefert. Anhand der Befehle, die Du ausgeführt hast, gehe ich aber davon aus, dass Du tatsächlich die "extra"-Profile kopiert hast.
Falls ich mich da getäuscht habe und/oder Du mehr Hilfe benötigst, zeig bitte die Ausgabe von aa-status - das sollte alle relevanten Infos zu den geladenen Profilen liefern (von mir aus kannst Du Profile, die nichts mit Postfix zu tun haben, rauskürzen - pass aber auf, dass Du die Überschriften stehenlässt.)
Außerdem bitte die Ausgabe von aa-unconfined damit ich die tatsächlichen Pfade sehe.
Gruß
Christian Boltz