rulinux.net - Форум - Admin - SELinux: как настроить полиси для maildir под dovecot и postfix? http://rulinux.net/ rulinux.net - Форум - Admin - SELinux: как настроить полиси для maildir под dovecot и postfix? http://rulinux.net/ http://rulinux.net/rss_icon.png Re:SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219146 https://rulinux.net/message.php?newsid=42785&page=1#219146 Fri, 30 Dec 2016 15:43:42 +0300 У редхата всё нормально из коробки тоже работает.. Я просто хочу все свои данные сложить в отдельном нестандартном каталоге.

Нашел свою ошибку - неправильно задаю контекст, надо с маской, чтобы покрывала текущие и будущие ящики.
И делать это надо не через chcon, который не пополняет таблицы контекстов SELInux, а использовать semanage fcontext - иначе при любом релейблинге контексты будут утрачены:
text

# pwd
/etc/selinux/targeted/contexts/files

# grep mail_home_rw_t *   ## наверное, правильнее `semanage fcontext --list | grep mail_home_rw_t`
file_contexts:/root/Maildir(/.*)?       system_u:object_r:mail_home_rw_t:s0
file_contexts:/root/\.esmtp_queue(/.*)? system_u:object_r:mail_home_rw_t:s0
file_contexts.homedirs:/home/[^/]+/.maildir(/.*)?       unconfined_u:object_r:mail_home_rw_t:s0
file_contexts.homedirs:/home/[^/]+/Maildir(/.*)?        unconfined_u:object_r:mail_home_rw_t:s0
file_contexts.homedirs:/home/[^/]+/\.esmtp_queue(/.*)?  unconfined_u:object_r:mail_home_rw_t:s0
### это то, что у меня сейчас:
file_contexts.local:/путь/vmail    system_u:object_r:mail_home_rw_t:s0
file_contexts.local:/path/vmail/domainname/mailbox     system_u:object_r:mail_home_rw_t:s0
 


Вобщем, пока решение такое:

bash

semanage fcontext --delete /path/vmail/domainname/mailbox   ## удалить случайное лишнее вхождение найденное выше
semanage fcontext --delete /path/vmail                      ## и это тоже
semanage fcontext -a -t mail_home_rw_t "/path/vmail(/.*)?"  ## ... а самим ящикам и всему, что ниже - другой
restorecon -R /path/vmail                                   ## проверим результат
 
Если в будущем придётся контексты уточнять, то напишу тут на всякий случай.

P.S.
Удалил "semanage fcontext -a -t dovecot_var_lib_t /path/vmail" - если vmail имеет контекст dovecot_var_lib_t, то почта всё равно не ходит.

]]> Re:SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219144 https://rulinux.net/message.php?newsid=42785&page=1#219144 Fri, 30 Dec 2016 11:17:36 +0300 ДрямсЪ!

эт ты ради лулзов/самообразования или кто-то задачу поставил? к чему веду.. качни SLES, там AppArmor по умолчанию все "стандарты" профилями перекрывает. т.е. в принципе получаешь то же самое за меньший гемор :)

]]> Re:SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219142 https://rulinux.net/message.php?newsid=42785&page=1#219142 Fri, 30 Dec 2016 00:23:29 +0300 Вобщем, решилось всё просто установкой другого контекста на каталог с почтовыми ящиками:
bash
# chcon -R -t mail_home_rw_t /path/vmail

]]> Re:SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219137 https://rulinux.net/message.php?newsid=42785&page=1#219137 Thu, 29 Dec 2016 20:21:28 +0300 Вобщем, подключил Postfix - как оказалось, он сам не лезет в dovecot'овские мейлбоксы, а действет через довекотовский транспорт локальной доставки. Теперь этот LDA обламвается на попытке зайти в каталог почтового ящика, блин.

]]> Re:SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219116 https://rulinux.net/message.php?newsid=42785&page=1#219116 Wed, 28 Dec 2016 14:30:47 +0300 именно как ПРАВИЛЬНО под SeLinux не скажу. классический путь:
1) создаём отдельную группу под определённую задачу;
2) всех "участников" включаем в эту группу;
3) рулим доступом на уровне "групп".. по сути owner и other идут няхуй. т.е. доступ вида 070/060 на каталог/файл;
4) !! PROFIT !!

с SeLinux стоит смотреть политики. эт гемор и нудятина, особенно учитывая "вложенное" наследование и т.п.. как вариант - lsattr/attr/getfattr/setfattr/и_т.п., getfac/setfacl.. ну, ты понел, да? ессно фс-ка должна поддерживать с ядром все эти надстройки, т.е. на reiserfs ты далеко с этим не уедешь :)

как-то так :)

]]> SELinux: как настроить полиси для maildir под dovecot и postfix? https://rulinux.net/message.php?newsid=42785&page=1#219087 https://rulinux.net/message.php?newsid=42785&page=1#219087 Mon, 26 Dec 2016 18:25:43 +0300 Гуглю сейчас, страниц по сабжевым ключевым словам много, а толку пока мало.. Может у кого готовый рецепт есть?

Короче есть совершенно отдельный от всего каталог vmail с которым должны работать dovecot и postfix. Сейчас у него права такие:
bash

# ls -ldZ ./vmail
drwxr-xr-x. vmail vmail system_u:object_r:default_t:s0   ./vmail
 

И довекот не может туда при включенном селинупсе (при выключенном - может)

Искоробочная директория от давекота, которую сделал yum (CentOS 7, 64 bit) при инсталляции:
bash

# ls -ldZ /var/lib/dovecot
drwxr-x---. dovecot dovecot system_u:object_r:dovecot_var_lib_t:s0 /var/lib/dovecot
 


Думаю выставить dovecot_var_lib_t на свою директорию, но не повредит ли постфиксу? Как вообще сделать права на ящики под связку dovecot и postfix ПРАВИЛЬНО?

]]>