[Postfixbuch-users] AppArmor-Profile: (was: Re: OT: Re: bekomme kein smtp-auth über mysql db hin)

Christian Boltz postfixbuch at cboltz.de
Do Dez 21 00:46:34 CET 2006 

Hallo Patrick, hallo Leute,

(vorgezogenes Weihnachtsgeschenk am Ende der Mail ;-)

Am Donnerstag, 7. Dezember 2006 21:18 schrieb Patrick Ben Koetter:
> * Christian Boltz <postfixbuch at cboltz.de>:
> > Warum empfehlen alle Leute immer, AppArmor abzuschalten? :-/
>
> Ich empfehle nicht kategorisch AppArmor abzuschalten, sondern ich
> empfehle es abzuschalten, solange ich einen Fehler suche. Also
> vereinfache ich ein komplexes System während der Konfiguration
> solange bis ich den Fehler gefunden und das gewünschte Verhalten
> erreicht habe. Dann erhöhe ich die Komplexität wieder, Schritt für
> Schritt, bis das erwünschte Gesamt-Ziel erreicht ist.

OK, unter diesem Gesichtspunkt ist es OK. (Sorry, falls ich überreagiert 
habe - ich habe schon zu oft die Empfehlung "AppArmor abschalten" 
gelesen.)

Trotzdem: empfehle lieber, AppArmor während der Testphase in 
den "complain"-Modus zu schalten (aa-complain /usr/lib/postfix/*), 
damit es schonmal schön mitloggt. Hinterher kannst Du dann gleich die 
Profile aktualisieren:

> > Daniel, aktualisiere die AppArmor-Profile (entweder mit YaST oder
> > mit aa-logprof, hier ist abstractions/mysql gefragt) und probiers
> > nochmal. Damit man die Berechtigungen nicht scheibchenweise
> > einrichten muss, kann man die Profile auch in den complain-Modus
> > schalten (mit aa-complain) und hinterher wieder deren Anwendung
> > erzwingen (aa-enforce)
>
> sic!

Wo genau ist Dein Problem?
(Ja, ich wünsche mir hier eine ernsthafte Antwort - ich sehe nämlich 
kein Problem.)

> > Auf Wunsch veröffentliche ich gern meine Profile für Postfix und
> > Courier, jeweils mit MySQL-Unterstützung und/oder die
> > Mailman-Profile (wobei letztere noch nicht 100% fertig sind).
>
> Bitte ja. Das wäre ein gute Tat[tm]. :)

OK, ist ja bald Weihnachten ;-)

Deshalb gibt es die AppArmor-Profile meines Mailservers (SUSE 10.1) in 
Vollausstattung (Postfix, maildrop, Mailman, Amavisd, ClamAV, SQLgrey, 
Courier) und als Bonus die Profile für vsftpd und diversen "Kleinkram" 
ab sofort unter
  http://blog.cboltz.de/ oder zielgerichteter unter
  http://blog.cboltz.de/archives/17-Sichere-Weihnachten!.html

So, und jetzt sag nochmal einer, er hätte keine funktionierenden 
AppArmor-Profile für Postfix ;-)


Frohe Weihnachten!

Christian Boltz
-- 
Das soll jetzt wirklich keine Arroganz sein, aber es macht keinen Sinn,
das Haus abzureissen, weil du den Hausschlüssel vergessen hast. :-)
[Ratti in suse-linux]

Mehr Informationen über die Mailingliste Postfixbuch-users