AppArmor Profil für /usr/lib/postfix/sbin/master

Christian Boltz postfix-users at cboltz.de
Di Okt 3 01:37:13 CEST 2017 

Hallo Josef, hallo zusammen,

Am Montag, 2. Oktober 2017, 16:18:25 CEST schrieb Josef Kranzer:
> leider bin ich wieder einmal mit meinem Wissen am Ende und hoffe auch
> Hilfe 😉
> Ich würde gerne den Postfix auf meinen neuen Server (Ubuntu 16.04.3)
> mittels AppArmor isolieren.
> 
> Ich habe mir daher ergoggelt wie ich zu weiteren Profilen komme und
> dann folgendes gemacht:
> sudo -s
> apt-get install apparmor-utils apparmor-profiles
> apparmor-profiles-extra cd /usr/share/doc/apparmor-profiles/extras/
> cp ./*postfix* usr.sbin.post* /etc/apparmor.d/
> cp usr.bin.procmail usr.sbin.sendmail /etc/apparmor.d/
> aa-enforce /etc/apparmor.d/*postfix*
> aa-enforce /etc/apparmor.d/usr.sbin.post*
> aa-enforce /etc/apparmor.d/usr.bin.procmail
> aa-enforce /etc/apparmor.d/usr.sbin.sendmail
> reboot now

Postfix neu starten hätte wohl auch gereicht, aber sicher ist sicher ;-)

> Leider teilt mir aa-unconfined mit das /usr/lib/postfix/sbin/master
> nicht confined ist.
> Da laut Netstat dies die Anwendung ist, welche auf TCP Port 25 hört,
> ist meiner, zugebenweise laienhaften, Meinung nach dies die Anwendung
> welche geschützt werden sollte.
> Ich finde leider auch kein AppAmor Profil welches für
> /usr/lib/postfix/sbin/master zu sein scheint. Kann mir jemand sagen
> was ich falsch mache bzw. wo mein Denkfehler ist?

Kein Denkfehler, nur ein "falscher" Pfad ;-)

Es gibt ein AppArmor-Profil für /usr/lib/postfix/master (ohne ../sbin/..) 
und auch Profile für die diversen Postfix-"Unterprogramme" bei den 
Profilen, die im Upstream-AppArmor-Repo unter "extras" (also 
standardmäßig nicht aktive Profile) liegen. Das führt dann leider auch 
dazu, dass diese Profile eher weniger gepflegt werden.

Einige der Postfix-Profile habe ich vor kurzem aktualisiert - falls Du die 
(statt der alten Version im Ubuntu-Paket) verwenden willst, mach einen 
Checkout des aktuellen AppArmor-Repos auf Launchpad.

Die Pfade musst Du aber trotzdem anpassen, am Besten so:
    /usr/lib/postfix/{sbin/,}master
(das deckt den Pfad mit und ohne .../sbin/... ab) und reichst das dann 
als Patch ein ;-)

So, und jetzt der Haken an dieser Mail: Ich benutze openSUSE, daher weiß 
ich nicht genau, was Ubuntu an Profilen ausliefert. Anhand der Befehle, 
die Du ausgeführt hast, gehe ich aber davon aus, dass Du tatsächlich die 
"extra"-Profile kopiert hast.

Falls ich mich da getäuscht habe und/oder Du mehr Hilfe benötigst, zeig 
bitte die Ausgabe von   aa-status   - das sollte alle relevanten Infos 
zu den geladenen Profilen liefern (von mir aus kannst Du Profile, die 
nichts mit Postfix zu tun haben, rauskürzen - pass aber auf, dass Du die 
Überschriften stehenlässt.)

Außerdem bitte die Ausgabe von   aa-unconfined   damit ich die 
tatsächlichen Pfade sehe.


Gruß

Christian Boltz
-- 
> Wrong ;-)
Ah, diplomacy at its finest.
[> Christian Boltz and Steve Beattie in apparmor]

Mehr Informationen über die Mailingliste postfix-users