Debian 12 (Proxmox Mail Gateway) and starting mailCow mail service

-
Hello.
If You have a problem with starting the MailCow mail service on the Debian 12 (Proxmox Mail Gateway iso) You can use this article.

1. Need to check what template to use Apparmor

root@pmg:/home/user# apparmor_status
apparmor module is loaded.
10 profiles are loaded.
9 profiles are in enforce mode.
docker-default
/usr/bin/freshclam
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/sbin/clamd
/{,usr/}sbin/dhclient
lsb_release
nvidia_modprobe
nvidia_modprobe//kmod
0 profiles are in complain mode
0 profiles are in kill mode.
0 profiles are in unconfined mode.
108 processes have profiles defined.
1 processes are in enforce mode.

 

2. Create apparmor template in /etc/apparmor.d/docker-default


#include <tunables/global>

profile docker-default flags=(attach_disconnected,mediate_deleted) {

#include <abstractions/base>

ptrace peer=@{profile_name},

network,
capability,
file,
umount,

deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir)
# deny write to files not in /proc/<number>/** or /proc/sys/**
deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w,
deny @{PROC}/sys/[^k]** w, # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel)
deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny everything except shm* in /proc/sys/kernel/
deny @{PROC}/sysrq-trigger rwklx,
deny @{PROC}/kcore rwklx,
deny @{PROC}/mem rwklx,
deny @{PROC}/kmem rwklx,

deny mount,

deny /sys/[^f]*/** wklx,
deny /sys/f[^s]*/** wklx,
deny /sys/fs/[^c]*/** wklx,
deny /sys/fs/c[^g]*/** wklx,
deny /sys/fs/cg[^r]*/** wklx,
deny /sys/firmware/** rwklx,
deny /sys/kernel/security/** rwklx,
}

3. Then change mode from enforce to complaine

aa-complain /etc/apparmor.d/docker-default  

After that problem must be gone.

Bye.

 

Comments

Post a Comment

Popular posts from this blog

Відновлення роботи роботи роутера Linksys WRT54G3G-ST після невдалого обновлення прошивки.

-
Image
Купив я якось роутер Linksys WRT54G3G-ST. Із цікавості почав розбиратися в його налаштуваннях. Та спробував його сконфігурувати за допомогою утиліти з офіційного сайту. Но у мене налаштувати його не вийшло, а от вбити - так. Отже, це була передісторія. А що ми маємо. Роутер який не піднімається і не працює, тільки блимає світлодіод POWER, що сигналізує про неможливість завантаження роутера. Я не буду описувати абсолютно всіх кроків по відновленню. Я лише дам посилання на ті статті, які мені допомогли відновити роботу даного роутера. Що ми робимо найперше. 1. Ми будемо відновлювати роботу роутера за допомогою JTAG & TTL to UART (RS232) портів роутера. 2. Де саме вони розміщенні на роутері та як підключити їх до комп'ютера можна знайти ось тут        2.1 Розміщення послідовного порта та його контакти описані тут        2.2 Розміщення та розпіновка контактів JTAG ось тут 3. По цій статті можна зробити кабель JTAG і відновити роботу роутера. Там все послідовно описано. Правд
Read more

Docker certbor autoreNEW cert cron job

-
Hi. If You using a Portainer for deploy yours applications with nginx, apache and Let’s Encrypt SSL you will need to auto renew the certificates when they were ended. I'm using that bash script and put it in the  /etc/cron.weekly folder (using UBUNTU 22.03)  #!/bin/bash # Set PATH PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin # Run the certbot container to renew the certs docker run --rm -v certbot-webroot-VOLUME:/var/www/certbot -v certbot-data-VOLUME:/etc/letsencrypt:rw certbot/certbot renew # Restart container docker restart container-WITH-WEB-SERVER # Copy cert for Portainer cat /var/lib/docker/volumes/certbot-data-VOLUME/_data/live/YOUR.DOMAIN.COM/fullchain.pem > /opt/portainer/certs/cert.pem cat /var/lib/docker/volumes/certbot-data/_data/live/YOUR.DOMAIN.COM/privkey.pem > /opt/portainer/certs/key.pem docker restart portainer PS. When You will put script to the   /etc/cron.weekly   folder don't add an extension to the script only name. With an ex
Read more