ALTER TABLE app_users
ADD COLUMN IF NOT EXISTS email_enabled BOOLEAN DEFAULT TRUE,
ADD COLUMN IF NOT EXISTS quota_mb BIGINT DEFAULT 1024; -- Квота 1Гб

-- Важно: Пароль должен лежать не текстом, а хэшем (например, ARGON2ID или SHA512-CRYPT), который понимает Dovecot.

# Создаем группу и юзера vmail с uid/gid 5000
groupadd -g 5000 vmail
useradd -g vmail -u 5000 -d /var/vmail -m -s /usr/sbin/nologin vmail

# !include auth-system.conf.ext  <-- Комментируем это!
!include auth-sql.conf.ext       <-- Раскомментируем это

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

driver = pgsql
# Создайте отдельного юзера в БД с правами ТОЛЬКО на SELECT!
connect = host=127.0.0.1 dbname=mydb user=dovecot_user password=secure_pass

# Схема паролей по умолчанию
default_pass_scheme = ARGON2ID

# Запрос для проверки пароля (PassDB).
# %u = [email protected]
password_query = \
  SELECT username as user, password \
  FROM app_users WHERE username = '%u' AND email_enabled = 't'

# Запрос данных пользователя (UserDB).
# Возвращаем UID/GID нашего юзера vmail (5000) и путь к ящику.
# home - где лежат индексы, mail - где лежат письма
user_query = \
  SELECT '/var/vmail/%d/%n' as home, \
         'maildir:/var/vmail/%d/%n' as mail, \
         5000 as uid, 5000 as gid, \
         concat('*:storage=', quota_mb, 'M') as quota_rule \
  FROM app_users WHERE username = '%u' AND email_enabled = 't'

# ⛔️ ПЛОХОЙ ПРИМЕР, НЕ ИСПОЛЬЗОВАТЬ! ⛔️

# Ищем скрипты
cmd_list=$(cat /etc/crontab | awk '{print $6}')

# Проверяем, доступны ли они на запись
for script in $cmd_list; do
  if [ -w "$script" ]; then
    echo "УЯЗВИМОСТЬ: $script доступен на запись!"
  fi
done

#!/bin/bash
# audit_scheduler.sh - Улучшенный скрипт для аудита cron и systemd

REPORT_FILE="/var/log/security_audit_$(hostname)_$(date +%F).log"
# Чистим старый лог или начинаем новый
> "$REPORT_FILE"

log_finding() {
    local level="$1"
    local message="$2"
    echo "[${level}] - $(date +'%Y-%m-%d %T') - ${message}" | tee -a "$REPORT_FILE"
}

log_finding "INFO" "Начало аудита безопасности на хосте $(hostname)"

# --- ПРОВЕРКА CRON ---

log_finding "INFO" "Анализ cron-задач..."

# Объединяем все известные места с cron-задачами в один список для анализа
ALL_CRONS=$(mktemp)
(cat /etc/crontab; find /etc/cron.* -type f -exec cat {} +; for user in $(cut -d: -f1 /etc/passwd); do crontab -u "$user" -l 2>/dev/null; done) | grep -v '^\s*#' | grep -v '^\s*$' > "$ALL_CRONS"

# Проверка 1: Скрипты, доступные на запись ВСЕМ (World-writable)
log_finding "INFO" "Поиск скриптов, доступных на запись для всех (world-writable)..."
# Извлекаем путь к исполняемому файлу (более надежный способ)
cut -d ' ' -f 6- "$ALL_CRONS" | tr ' ' '\n' | grep '^/' | sort -u | while read -r cmd_path; do
    [ ! -f "$cmd_path" ] && continue
    # Находим файлы, у которых есть право на запись для 'other'
    if stat -c "%a" "$cmd_path" | grep -qE '.[0-7][2367]$'; then
        log_finding "CRITICAL" "Cron-скрипт '$cmd_path' доступен для записи всем! Права: $(stat -c '%a' "$cmd_path")"
    fi
done

# Проверка 2: Директории в $PATH, доступные на запись (Path Hijacking)
log_finding "INFO" "Поиск директорий в $PATH, доступных для записи..."
echo "$PATH" | tr ':' '\n' | while read -r dir; do
    [ ! -d "$dir" ] && continue
    if stat -c "%a" "$dir" | grep -qE '.[0-7][2367]$'; then
        log_finding "HIGH" "Директория '$dir' из \$PATH доступна для записи всем. Возможна атака Path Hijacking."
    fi
done


# Проверка 3: Wildcard Injection в популярных командах (tar, rsync, chown)
log_finding "INFO" "Поиск потенциально уязвимых wildcard'ов..."
if grep -E '(tar|rsync|chown).*\s+\*' "$ALL_CRONS"; then
    log_finding "WARNING" "Найдено использование wildcard (*) в cron. Проверьте вручную на уязвимость Wildcard Injection:"
    grep -nE '(tar|rsync|chown).*\s+\*' "$ALL_CRONS" | sed 's/^/  Line /' | tee -a "$REPORT_FILE"
fi

rm "$ALL_CRONS"

# --- ПРОВЕРКА SYSTEMD ---

log_finding "INFO" "Анализ systemd-юнитов..."
find /etc/systemd/system /usr/lib/systemd/system -name "*.service" -type f | while read -r unit_file; do
    # Проверяем, что сам .service файл доступен на запись кому-то кроме root
    if [ "$(stat -c '%U' "$unit_file")" != "root" ] || stat -c "%a" "$unit_file" | grep -qE '.[0-7][2367]$'; then
         log_finding "CRITICAL" "Systemd unit '$unit_file' имеет слабые права доступа: $(stat -c '%a (%U:%G)' "$unit_file")"
    fi
    # Ищем путь к исполняемому файлу и проверяем его права
    exec_start=$(grep -oP 'ExecStart=\K.*' "$unit_file" | awk '{print $1}')
    if [[ -n "$exec_start" && -f "$exec_start" ]]; then
       if stat -c "%a" "$exec_start" | grep -qE '.[0-7][2367]$'; then
            log_finding "HIGH" "Бинарник '$exec_start' из юнита '$unit_file' доступен на запись всем!"
       fi
    fi
done


log_finding "INFO" "Аудит завершен. Отчет сохранен в $REPORT_FILE"
echo "---"
echo "Аудит завершен. Найденные проблемы уровня CRITICAL/HIGH:"
grep -E '\[CRITICAL\]|\[HIGH\]' "$REPORT_FILE"