SPAM wird nicht mehr nach TRASH verschoben

Christian Boltz dovecot-jpb at cboltz.de
Mi Okt 18 23:04:41 CEST 2017 

Hallo Ferdinand, hallo zusammen,

Am Mittwoch, 18. Oktober 2017, 22:36:49 CEST schrieb Ferdinand Gruber:
> Ich habe es jetzt doch anders hingekriegt - ohne Neuinstallation etc.
> Mit Hilfe von aa-logprof konnte ich einige Apparmor Profile so
> anpassen, dass Dovecot nicht mehr blockiert wird.
> 
> Ein Profil habe ich noch im complain Modus gelassen, aber seit mehr
> als einer Woche kommt kein Vorschlag mehr, wenn ichaa-logprof starte.
> 
> 1 profiles are in complain mode.
>     /usr/lib/dovecot/dovecot-lda///usr/sbin/sendmail
> 
> Nur eine Verständnisfrage: Warum sind da in der Mitte 3 Schrägstriche
> und dahinter noch ein Profil ???

Das ist ein Kindprofil. Wenn Du in 
/etc/apparmor.d/usr.lib.dovecot.dovecot.lda siehst, findest Du da

/usr/lib/dovecot/dovecot-lda {
    # [...]
    /usr/sbin/sendmail Cx,
    # [...]

    profile /usr/sbin/sendmail {
        # [...]
    }
}

Das heißt, dass sendmail mit dem Kindprofil ausgeführt wird (Cx). Dieses 
Kindprofil ist dann das eingebettete Sendmail-Profil.

Die 3 Schrägstriche setzen sich dann zusammen aus
- 2 Schrägstrichen als Trenner zwischen Haupt- und Kindprofil
- 1 Schrägstrich vom Anfang von /usr/sbin/sendmail

Mit Leerzeichen wäre das also
     /usr/lib/dovecot/dovecot-lda  //  /usr/sbin/sendmail

> Und noch etwas:
> 
> Ich würde gern mit einer leeren log-Datei beginnen:
> var/log/audit/audit.log
> 
> Ich trau mich aber nicht mehr, diese einfach zu löschen und eine leere
> anzulegen. Das habe ich nämlich einmal getan, und dann hat der auditd
> gar nichts mehr geloggt. Weiß nicht mehr, was ich dann getan habe,
> damit er wieder etwas in die Logdatei schreibt. Ich glaube, ich habe
> aus meinem Backup die Datei wieder zurückkopiert.

Einfach auditd neu starten (rcauditd restart).

> Warum sind in dieser Logdatei keine Datumsangaben? Das wäre sehr
> hilfreich.

Sie sind da, nur nicht so einfach lesbar ;-)

Eine Zeile aus dem audit.log sieht so aus:

type=AVC msg=audit(1508359212.704:392): apparmor="ALLOWED" [...]
                   ^^^^^^^^^^
Das markierte (1508359212) ist der Timestamp als Unixtime (Sekunden seit 
1970). Das kannst Du auch in verständliche Timestamps umrechnen lassen:

# date -d @1508359212
Mi 18. Okt 22:40:12 CEST 2017

> Also, folgende Profile habe ich verändert:
> 
> usr.lib.dovecot.imap
> usr.lib.dovecot.dovecot-lda
> usr.sbin.dovecot
> usr.lib.dovecot.config
> 
> Soll ich sie hier veröffentlichen oder dir per Mail schicken?

Was Dir lieber ist ;-)


Gruß

Christian Boltz
-- 
I know that. Please don't assume that I misunderstood you just because
every systemd-basher during the last five years did the same thing. :-P
[Matthias Urlichs in systemd-devel]

Mehr Informationen über die Mailingliste Dovecot