Gentoo Hardened mit Mailman
Für alle ebenfalls Leidgeplagten – die eigentlich kurzen, aber anfänglich schmerzhaften Schritte ;)
Kurz zu den Vorbedingungen: Es wird Gentoo genutzt, dazu ein Hardened-Kernel, die GRsecurity Optionen sind aktiviert und TPE wollen wir auch nutzen … und dazu darf es Mailman sein.
CONFIG_GRKERNSEC_TPE=y
# CONFIG_GRKERNSEC_TPE_ALL is not set
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=2000
Zunächst brauchen wir eine neue Gruppe, dieser dann alle Benutzer hinzugefügt werden, für die die Einschränkungen der TPE nicht gelten sollen. In diesem Fall die Benutzer apache und mailman. Vorzugsweise installiert wird die aktuelle Mailman-Version 2.1.9-r2. Revision 2 bevorzugt, da in dieser “korrekte” Installationspfade genutzt werden (im Gegensatz zur Installation unter /usr/local/mailman zuvor) und auch eine Separation von Anwendungsbinaries (/usr)und den Anwendungsdaten (/var) stattfindet.
Um es dann noch ganz bequem zu gestalten erfolgt die Einbindung in Postfix gemäß Anleitung. Zunächst muss dem Mailman Postfix als zu nutzender Mailserver-”Typ”bekannt gemacht werden. An der Stelle zeigt sich eine weitere Verbesserung der Revision 2 des Gentoo Ebuilds – die Konfiguration erfolgt in /etc/mailman, so das bei späteren Updates der Schutz von Konfigurationsdateien greift und Aktualisierungen per etc-update oder (so nicht auf nem Server genutzt) etc-proposals erfolgen können.
/etc/mailman/mm_cfg.py
MTA = 'Postfix'
Mailman legt beim Erstellen neuer Listen gleich ein passendes Alias-File an, das nur noch in Postfix eingebunden werden will:
/etc/postfix/main.cf
alias_maps = hash:/etc/mail/aliases, hash:/var/lib/mailman/data/aliases
Abschliessend wollen die Verzeichnisse {bin,cgi-bin,mail} noch den Besitzer wechseln – root darf es sein, dann klappts auch mitm Mailen. Zusätzlich müssen noch die Schreibrechte für die Gruppe weg.
cd /usr/lib/mailman
chown root {bin,cgi-bin,mail}
chmod g-w {bin,cgi-bin,mail}
(Fast) fertig – eigentlich ganz einfach …
… nur noch ein Problem bleibt vorerst:
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: more alerts, logging disabled for 10 seconds
To be continued …
Trackbacks & Pingbacks
-
Tobias Scherbaum » … das war also 2008
pingbacked Posted 31. December 2008, 4:25 pm
[...] Januar-Ereignis hängen geblieben. Mailman nicht ganz problemlos (TPE sei Dank *sigh*) auf einem Hardened Gentoo System installiert. etc-proposals in den Tree geworfen, grade festgestellt, dass das ja nun auch schon ein [...]
-
Tobias Scherbaum » Mailman mit Postfix und virtuellen Hosts
pingbacked Posted 9. February 2009, 5:58 pm
[...] habe ich bei Gerd quasi die noch ausstehende Fortsetzung meines Artikels zur Mailman Installation unter einem Hardened Gentoo gefunden. Praktisch, da ich das nunmehr nicht mehr selbst schreiben muss [...]
