jump to navigation

Gentoo Hardened mit Mailman January 11, 2008

Posted by Tobias Scherbaum in : Sysadmin , add a comment

Für alle ebenfalls Leidgeplagten - die eigentlich kurzen, aber anfänglich schmerzhaften Schritte ;)

Kurz zu den Vorbedingungen: Es wird Gentoo genutzt, dazu ein Hardened-Kernel, die GRsecurity Optionen sind aktiviert und TPE wollen wir auch nutzen … und dazu darf es Mailman sein.
CONFIG_GRKERNSEC_TPE=y
# CONFIG_GRKERNSEC_TPE_ALL is not set
CONFIG_GRKERNSEC_TPE_INVERT=y
CONFIG_GRKERNSEC_TPE_GID=2000
Zunächst brauchen wir eine neue Gruppe, dieser dann alle Benutzer hinzugefügt werden, für die die Einschränkungen der TPE nicht gelten sollen. In diesem Fall die Benutzer apache und mailman. Vorzugsweise installiert wird die aktuelle Mailman-Version 2.1.9-r2. Revision 2 bevorzugt, da in dieser “korrekte” Installationspfade genutzt werden (im Gegensatz zur Installation unter /usr/local/mailman zuvor) und auch eine Separation von Anwendungsbinaries (/usr)und den Anwendungsdaten (/var) stattfindet.

Um es dann noch ganz bequem zu gestalten erfolgt die Einbindung in Postfix gemäß Anleitung. Zunächst muss dem Mailman Postfix als zu nutzender Mailserver-”Typ”bekannt gemacht werden. An der Stelle zeigt sich eine weitere Verbesserung der Revision 2 des Gentoo Ebuilds - die Konfiguration erfolgt in /etc/mailman, so das bei späteren Updates der Schutz von Konfigurationsdateien greift und Aktualisierungen per etc-update oder (so nicht auf nem Server genutzt) etc-proposals erfolgen können.
/etc/mailman/mm_cfg.py
MTA = ‘Postfix’
Mailman legt beim Erstellen neuer Listen gleich ein passendes Alias-File an, das nur noch in Postfix eingebunden werden will:
/etc/postfix/main.cf
alias_maps = hash:/etc/mail/aliases, hash:/var/lib/mailman/data/aliases

Abschliessend wollen die Verzeichnisse {bin,cgi-bin,mail} noch den Besitzer wechseln - root darf es sein, dann klappts auch mitm Mailen. Zusätzlich müssen noch die Schreibrechte für die Gruppe weg.
cd /usr/lib/mailman
chown root {bin,cgi-bin,mail}
chmod g-w {bin,cgi-bin,mail}
(Fast) fertig - eigentlich ganz einfach …

… nur noch ein Problem bleibt vorerst:

grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/japanese/c/_japanese_codecs.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: From 84.62.xxx.xxx: denied untrusted exec of /usr/lib/mailman/pythonlib/korean/c/_koco.so by /usr/bin/python2.4[python:4323] uid/euid:280/280 gid/egid:280/280, parent /usr/lib/postfix/local[local:4313] uid/euid:0/207 gid/egid:0/207
grsec: more alerts, logging disabled for 10 seconds
To be continued …

Pluginverweigerer? January 9, 2008

Posted by Tobias Scherbaum in : Aktuelles , add a comment

Nachdem ich mich Plugins bisher verweigert habe (je intensiver man etwas nutzt und erweitert, desto abhängiger ist man davon …), hab ich nun das zweite Plugin in Betrieb genommen. Der EventCalender zeigt nun folgende Events an (bei denen es vornehmlich um Linux im Allgemeinen und Gentoo im Besonderen geht).

LinuxTag January 9, 2008

Posted by Tobias Scherbaum in : Events , add a comment
28. May 2008to31. May 2008

Wieder in Berlin, womöglich nach mehrjähriger Abstinenz wieder mit Gentoo?

Chemnitzer Linuxtage January 9, 2008

Posted by Tobias Scherbaum in : Events , add a comment
1. March 2008to2. March 2008

Mit Gentoo Stand, vielleicht mit Vortrag, wahrscheinlich mit Gentoo Entwicklerraum.

Grazer Linuxtag January 9, 2008

Posted by Tobias Scherbaum in : Events , add a comment
19. April 2008

Wie im vergangenen Jahr auch dieses Jahr wieder an der FH, Wernfried Haas wird dabei sein und natürlich die grml-Jungs. Wieder Steak im Brot+Spiele? ;)

OpenExpo Bern January 9, 2008

Posted by Tobias Scherbaum in : Events , add a comment
12. March 2008to13. March 2008

OpenExpo in Bern, ohne Vortrag - aber mit Gentoo Stand. Mit dabei sein wird Tiziano Müller.

Sub des Tages January 7, 2008

Posted by Tobias Scherbaum in : Me, Myself and I , 21comments

Weil es sich sonst nirgends findet und die Info immer dann fehlt, wenn es wirklich wichtig ist - hier die Subs des Tages:


Und ja, das Bild ist nicht schön - erfüllt aber seinen Zweck ;)

etc-proposals-1.4.1 and cyrus-imapd-2.3.11 January 2, 2008

Posted by Tobias Scherbaum in : Gentoo, Sysadmin , 1 comment so far

Just a few hours after I added etc-proposals to the tree, a bug with initializing the internal DB was discovered and reported. After adding upstream dev Bjoern Michaelsen to that bugreport a fixed 1.4.1 was released within a couple of hours, thanks for your fast response Bjoern :) We need to meet at one of the next Gentoo User-Meetings in Hamburg for sure ;)

While being quite productive today I also finally managed to commit Cyrus 2.3.11 (cyrus-imapd, cyrus-imap-admin and cyrus-imap-dev that is) which was a few days due, I was waiting for the UOA Patches (covering the autosieve and autocreate USE-Flags) and forgot to check if they were available … gladly someone mentioned that the patches were released on the corresponding bug report.

myGallery January 2, 2008

Posted by Tobias Scherbaum in : Me, Myself and I, On the road ... , 4comments

Nach kurzen Spielereien mit Fotos in Kombination mit Wordpress gestern, haben Uwe und Christian mich heute dazu “ermutigt”doch noch einmal einen Blick auf myGallery zu werfen … was soll ich sagen, es funktioniert. Starten wir direkt mal mit einem Bilderrätsel …


Edit: Hrm, wie bekomme ich die Bilder nun per http und nicht via https eingebunden? ;)

Fotos? January 1, 2008

Posted by Tobias Scherbaum in : Aktuelles , add a comment

Ja sag einmal … jetzt gibts das Blog schon über ein Jahr und es hat bis heute zur ersten eingebetten Grafik gebraucht?

Ja … anfangs hats nicht funktioniert, dann hats mich nicht interessiert, erst beim Lego-Männchen vorhin habe ich es nochmal probiert - geht :)