Hallo,
ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?
cu
Strunz_1975
[gelöst] EMail in einem Jail absichern?
- Strunz_1975
- Beiträge: 2464
- Registriert: 13.04.2007 14:29:32
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
[gelöst] EMail in einem Jail absichern?
Zuletzt geändert von Strunz_1975 am 28.08.2014 17:30:00, insgesamt 1-mal geändert.
Debian Bookworm
Re: EMail in einem Jail absichern?
Ein jail wäre unter Linux wohl sowas wie lxc (linux-Container) oder chroot.
Darin braucht es ein komplettes System (ohne eigenen Kernel),
in diesem Fall sogar mit xorg-Installation.
Es wäre darin auch ein Benutzermanagement nötig.
Die lxc-Container (wheezy) sollten meiner Erfahrung nach die ganze Zeit über laufen,
da sie bei eigenem Herunterfahren/Abschalten gelegentlich aufs Host-System durchschlagen.
Allein sowas muß durch das Rechtemanagement innerhalb des Containers abgefangen werden.
(Die Trennung vom Host-System ist nicht absolut
EDIT Gerade wieder passiert, 'service lxc stop' schoß den Host ab
(lxc-halt ist dabei verändert:
----------------------------------------
- chroot /var/lib/lxc/${_CONTAINER}/rootfs telinit 0
+ lxc-attach -n ${_CONTAINER} -e -- /sbin/telinit 0
----------------------------------------
da ersteres gar nichts macht
(entsprechende tmpfs-Mounts existieren im Host-sichtbaren Dateisystem des Containers gar nicht),
bei zweiterem wird das 'telinit' innerhalb des laufenden Containers ausgeführt
(eventuell müßte auch nur die Option '-e' weg?))
Eine komplette VM halte ich für praktikabler, durch bessere Trennung.
Unter virtualbox / vmware gelangt der Aufruf/Einblendung eines Programms in der VM wohl auch transparent auf dem jeweiligen Desktop,
habe ich bisher aber nie ausprobiert.
Eventuell einfach einen separaten Benutzer für die Verwendung von icedove anlegen?
Der Aufruf könnte dann per sudo, su oder sowas wie 'ssh icedoveuser@localhost -Y icedove' erfolgen.
(Letzteres benutze ich zur Ausführung von sylpheed auf remote-Rechner.)
Darin braucht es ein komplettes System (ohne eigenen Kernel),
in diesem Fall sogar mit xorg-Installation.
Es wäre darin auch ein Benutzermanagement nötig.
Die lxc-Container (wheezy) sollten meiner Erfahrung nach die ganze Zeit über laufen,
da sie bei eigenem Herunterfahren/Abschalten gelegentlich aufs Host-System durchschlagen.
Allein sowas muß durch das Rechtemanagement innerhalb des Containers abgefangen werden.
(Die Trennung vom Host-System ist nicht absolut
EDIT Gerade wieder passiert, 'service lxc stop' schoß den Host ab
(lxc-halt ist dabei verändert:
----------------------------------------
- chroot /var/lib/lxc/${_CONTAINER}/rootfs telinit 0
+ lxc-attach -n ${_CONTAINER} -e -- /sbin/telinit 0
----------------------------------------
da ersteres gar nichts macht
(entsprechende tmpfs-Mounts existieren im Host-sichtbaren Dateisystem des Containers gar nicht),
bei zweiterem wird das 'telinit' innerhalb des laufenden Containers ausgeführt
(eventuell müßte auch nur die Option '-e' weg?))
Eine komplette VM halte ich für praktikabler, durch bessere Trennung.
Unter virtualbox / vmware gelangt der Aufruf/Einblendung eines Programms in der VM wohl auch transparent auf dem jeweiligen Desktop,
habe ich bisher aber nie ausprobiert.
Eventuell einfach einen separaten Benutzer für die Verwendung von icedove anlegen?
Der Aufruf könnte dann per sudo, su oder sowas wie 'ssh icedoveuser@localhost -Y icedove' erfolgen.
(Letzteres benutze ich zur Ausführung von sylpheed auf remote-Rechner.)
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: EMail in einem Jail absichern?
Die VM braucht keinen X-Server - einfach per ssh und X-forwarding starten. Icedove hat keine abhängigkeiten zu X11-Paketen, also wird da auch nicht der gesamte Klumpen mitinstalliert (nur ein paar gtk-libraries IIRC).
Hatte mir so Icedove auf nen Raspberry geholt - für direktes Ausführen und flüssig damit Arbeiten ist der Pi doch zu schwach auf der Brust...
Mit Iceweasel funktioniert das auch (bedingt) - spätestens bei flash wirds dann aber gruselig.
Darf man fragen wozu du den Iceweasel wegsperren willst? Evtl wäre ja auch Webmail eine Lösung?
Hatte mir so Icedove auf nen Raspberry geholt - für direktes Ausführen und flüssig damit Arbeiten ist der Pi doch zu schwach auf der Brust...
Mit Iceweasel funktioniert das auch (bedingt) - spätestens bei flash wirds dann aber gruselig.
Darf man fragen wozu du den Iceweasel wegsperren willst? Evtl wäre ja auch Webmail eine Lösung?
Re: EMail in einem Jail absichern?
In der aktuellen Ausgabe von LinuxUser ist von firejail zu lesen. Ich habe es selbst nicht ausprobiert, aber vielleicht ist es ja was für Dich.Strunz_1975 hat geschrieben:Hallo,
ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?
cu
Strunz_1975
- Strunz_1975
- Beiträge: 2464
- Registriert: 13.04.2007 14:29:32
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: EMail in einem Jail absichern?
Das werde ich mir mal genauer ansehen!Dimejo hat geschrieben:In der aktuellen Ausgabe von LinuxUser ist von firejail zu lesen. Ich habe es selbst nicht ausprobiert, aber vielleicht ist es ja was für Dich.Strunz_1975 hat geschrieben:Hallo,
ist es möglich ein Email-Programm (Icedove) mittels einem Jail abzusichern?
Und wenn ja, wie macht man das?
cu
Strunz_1975
Debian Bookworm
-
- Beiträge: 278
- Registriert: 19.04.2009 18:55:05
Re: EMail in einem Jail absichern?
Wie wäre es denn mit AppArmor? Hilfreich sind hier das Debian Wiki, das Ubuntu Wiki und das offizielle AppArmor Forum. Darin hab ich bspw. Firefox und Thunderbird eingesperrt AppArmor ist in den offiziellen Debian Paketdepots enthalten. Viele Grüße
Nachtrag zu chroot: Is chroot a security feature?
Nachtrag zu chroot: Is chroot a security feature?
- Strunz_1975
- Beiträge: 2464
- Registriert: 13.04.2007 14:29:32
- Lizenz eigener Beiträge: MIT Lizenz
-
Kontaktdaten:
Re: EMail in einem Jail absichern?
AppArmor ist mir zu kompliziert!WEARENOTALONE hat geschrieben:Wie wäre es denn mit AppArmor? Hilfreich sind hier das Debian Wiki, das Ubuntu Wiki und das offizielle AppArmor Forum. Darin hab ich bspw. Firefox und Thunderbird eingesperrt AppArmor ist in den offiziellen Debian Paketdepots enthalten. Viele Grüße
Nachtrag zu chroot: Is chroot a security feature?
Debian Bookworm