SELinux Notizen

  1. sestatus -> Zeigt Statusinformationen von SELinux an
  2. getenforce -> Zeigt nur den aktuellen Zustand von SELinux an. Enforcing bedeutet es laeuft, Permissive bedeutet, das es deaktiviert ist
  3. setenforce -> Aendert den Zustand von SELinux. Uebergibt man den Parameter 0 ist es im Permissive mode. Uebergibt man den Parameter 1 ist es im Enforcing mode. Kann man mit dem Tool getenforce ueberpruefen.
  4. getsebool -a -> Zeigt alle verfuegbaren SELinux Optionen inklusive dessen Status (on | off) an.
  5. getsebool httpd_can_network_connect -> Zeigt nur den Status der SELinux Option http_can_network_connect an
  6. setsebool  httpd_can_network_connect on -> Setzt fuer die SELinux Option die httpd_can_network_connect den Status on
  7. Der Schalter -P bei setsebool sorgt dafuer, dass eine Aenderung auch PERSISTANT ist, also ueber einen reboot hinaus aktiv, Beispiel: setsebool  -P httpd_can_network_connect on
  8. Die Logdatei von SELinux heisst zum Beispiel auf einem CentOS 6.4 audit.log und liegt unter /var/log/audit/audit.log
  9. ls -Z -> zeigt SELinux Security Context einer Datei an
  10. ps axZ -> zeigt SELinux Security Daten eines Prozesses an

 

HowTo: Mailserver, DNS und SPF Records

SPF steht fuer Sender Policy Framework und ist ein Spamschutzverfahren bei dem im DNS ein TXT Record hinterlegt wird. Der Record enthaelt zusaetzliche Informationen zum Mailserver. Ein empfangender Mailserver kann dann unter Zuhilfenahme eines SPF Records ueberpruefen ob der Server der diese Email versendet ueberhaupt legitimiert ist selbiges zu tun.

Einen einfachen SPF Record Generator gibt es unter der folgenden Adresse:

TXT Records koennen unter Linux mit dem Tool dig abgefragt werden:

user@host:~$ dig +short TXT jan-von.de
"v=spf1 a a:vonde.eu a:s2.pregos.info ip4:188.40.81.89"
user@host:~$

Mit den folgenden Schritten kann man unter Debian in Postfix selber einen SPF Check implementieren:

  1. Paket installieren:
    user@host:~$ aptitude install postfix postfix-policyd-spf-perl
  2. Die Ueberpruefung als smtpd_recipient_restrictions in der /etc/postfix/main.cf hinzufuegen. Dabei darauf achten, dass nur der neue Eintrag hinten angefuegt und nichts geloescht wird:
    smtpd_recipient_restrictions = [...], check_policy_service unix:private/policy
  3. Die Policy Engine in der /etc/postfix/master.cf hinzufuegen:
    policy unix - n n - - spawn
      user=nobody argv=/usr/bin/perl /usr/sbin/postfix-policyd-spf-perl
  4. Postfix neu starten:
    user@host:~$ service postfix restart

Diese Schritte habe ich aus dem Eintrag Implementing SPF checks in Postfix von www.debiantutorials.com. Hier in meinen Blog ueberfuehrt, damit ich die Infos auch noch habe sollte die andere Seite mal Offline gehen…