[gelöst] EMail in einem Jail absichern?

[Strunz_1975]

Hallo,

ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?

cu
Strunz_1975

[rendegast]

Ein jail wäre unter Linux wohl sowas wie lxc (linux-Container) oder chroot.
Darin braucht es ein komplettes System (ohne eigenen Kernel),
in diesem Fall sogar mit xorg-Installation.
Es wäre darin auch ein Benutzermanagement nötig.

Die lxc-Container (wheezy) sollten meiner Erfahrung nach die ganze Zeit über laufen,
da sie bei eigenem Herunterfahren/Abschalten gelegentlich aufs Host-System durchschlagen.
Allein sowas muß durch das Rechtemanagement innerhalb des Containers abgefangen werden.
(Die Trennung vom Host-System ist nicht absolut
EDIT Gerade wieder passiert, 'service lxc stop' schoß den Host ab
(lxc-halt ist dabei verändert:
----------------------------------------
- chroot /var/lib/lxc/${_CONTAINER}/rootfs telinit 0
+ lxc-attach -n ${_CONTAINER} -e -- /sbin/telinit 0
----------------------------------------
da ersteres gar nichts macht
(entsprechende tmpfs-Mounts existieren im Host-sichtbaren Dateisystem des Containers gar nicht),
bei zweiterem wird das 'telinit' innerhalb des laufenden Containers ausgeführt
(eventuell müßte auch nur die Option '-e' weg?))


Eine komplette VM halte ich für praktikabler, durch bessere Trennung.
Unter virtualbox / vmware gelangt der Aufruf/Einblendung eines Programms in der VM wohl auch transparent auf dem jeweiligen Desktop,
habe ich bisher aber nie ausprobiert.


Eventuell einfach einen separaten Benutzer für die Verwendung von icedove anlegen?
Der Aufruf könnte dann per sudo, su oder sowas wie 'ssh icedoveuser@localhost -Y icedove' erfolgen.
(Letzteres benutze ich zur Ausführung von sylpheed auf remote-Rechner.)

[r4pt0r]

Die VM braucht keinen X-Server - einfach per ssh und X-forwarding starten. Icedove hat keine abhängigkeiten zu X11-Paketen, also wird da auch nicht der gesamte Klumpen mitinstalliert (nur ein paar gtk-libraries IIRC).

Hatte mir so Icedove auf nen Raspberry geholt - für direktes Ausführen und flüssig damit Arbeiten ist der Pi doch zu schwach auf der Brust...
Mit Iceweasel funktioniert das auch (bedingt) - spätestens bei flash wirds dann aber gruselig.


Darf man fragen wozu du den Iceweasel wegsperren willst? Evtl wäre ja auch Webmail eine Lösung?

[Dimejo]

Hallo,

ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?

cu
Strunz_1975

In der aktuellen Ausgabe von LinuxUser ist von firejail zu lesen. Ich habe es selbst nicht ausprobiert, aber vielleicht ist es ja was für Dich.

[Strunz_1975]

Hallo,

ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?

cu
Strunz_1975

In der aktuellen Ausgabe von LinuxUser ist von firejail zu lesen. Ich habe es selbst nicht ausprobiert, aber vielleicht ist es ja was für Dich.

Das werde ich mir mal genauer ansehen!

[WEARENOTALONE]

Wie wäre es denn mit AppArmor? Hilfreich sind hier das Debian Wiki, das Ubuntu Wiki und das offizielle AppArmor Forum. Darin hab ich bspw. Firefox und Thunderbird eingesperrt AppArmor ist in den offiziellen Debian Paketdepots enthalten. Viele Grüße

Nachtrag zu chroot: Is chroot a security feature?

[Strunz_1975]

Wie wäre es denn mit AppArmor? Hilfreich sind hier das Debian Wiki, das Ubuntu Wiki und das offizielle AppArmor Forum. Darin hab ich bspw. Firefox und Thunderbird eingesperrt AppArmor ist in den offiziellen Debian Paketdepots enthalten. Viele Grüße

Nachtrag zu chroot: Is chroot a security feature?

AppArmor ist mir zu kompliziert!