gradm+postfix

A postfix is hasaznál chroot hívást, ha úgy van konfigolva. (debianban defaultként igen). Valószínűleg a tanulási idő alatt nem sikerült ezt logolnia? Gondolom nincs rajta a jog a CHROOT rendszerhíváshoz. Próbáld meg kézzel hozáadni. Aztán valószínűleg használsz olyan beállítást, ami meggátolja a nem engedélyezett userek csatlakozását különböző portokhoz, fifo filekhez, több sockethez. Ajánlott elolvasni is a grsecurity doksijat, nem csak a learning-re hagyatkozni. A learning arra jó, hogy felgyorsítsa a tanult ember munkáját, de a tanulést nem helyettesíti! Nálam ment ilyen setupban, de nálam a chroot is engedélyezve volt. Esetleg külön binarisonkent is megadhatsz kivételeket. Vagy beteszed a teljes postfixet chrootba valamilyen tool-lal, kézzel, ld.so.preload libraryvel és belül nem fogsz chroot hívásokt végrehajtani (master.cf beállítások).
sok sikert.
Ago

[quote:85b1aa7fc6="jaci"]Senki?
Használja valaki egyáltalán? Tapasztalat?
Bármilyen ötlet jól jönne....

Szia,

Én használom a GRSecurity RBAC fícsörjét, bár nem Postfix-em van, hanem Sendmail-em.
Annyit biztosan mondhatok mindentől függetlenül, hogy amit a learning fícsörrel csinálni tudsz, az csak egy alpha verzió. Nem fog magától menni. Át kell nyálazni az egészet, és átalakítani a saját szájad íze szerint.
Például minden egyes programra egyedi szabályokat definiál. Néha emiatt kicsit olyan újra-fel-kell-találni-a-kereket ízű. Máshol meg nem sikerül neki az általánosítás. Én egy kicsit általánosabb, megengedőbb szabályrendszert alakítottam ki.
A learning az egy jó kiindulás. Megmutatja, hogy mi kell az egyes progiknak, hogy mikre kell figyelned. Lesz, ami csak hatodszorra fog menni. És lesz olyan, ami majd a hetenkénti cron job lefutásakor bukkan fel a rendszeredben.
Ha azonban van valami új, akkor azt lehet villám-learning-gel bemérni. Kiváltod párszor az eseményt, és közben ki-be kapcsolgatod a learning-et.
Például könnyen elképzelhető, hogy egy adott alkalmazás csak akkor akar majd írni a /dev/log-ba, ha valami nem működik jól...

Régóta finomítom már a szabályokat és még mindig bele-bele javítok néha. Olyan, mint a bonszáj. Ugyanakkor az is jó tudat, hogyha valaki root-ot szerez, gyakorlatilag alig tud ártani valamit a rendszernek. Meg tudod csinálni, hogy még csak egy daemon-t se tudjon lelőni. Hogy a root még a saját home-jába se tudjon írni (ezt próbálja meg elmagyarázni valaki például Sting-nek, a magyar Rob Enderle-nek).

A learning még arra is jó, hogy akár RSBAC-hoz segítsen szabályokat csinálni...

Meg kell mondjam, hogy igen-igen sokat lehet szívni a Sendmail-lel, szóval fontolgatom az áttérést (semmitmondó/elterelő hibaüzenetek, megmagyarázhatatlan viselkedés, sok meglepetést tartogató konfiguráció...) És bizony pont a Postfix lesz a jelölt, ha eljön az ideje.

Amit még én sem oldotam meg: shutdown. Jó párszor próbáltam már újraindítani a rendszert, de mindig elérte a log limit-et a sok hibaüzenet. Rá kéne szánnom egy hétvégét, hogy belőjem, de nincs időm. Ha pedig lesz UPS, akkor a daemon-nak kéne tudni csinálni valami graceful shutdown-t.

Hardened Gentoo-t használok, abból is a stable branch-ot.

Üdv,
Dw.