[Postfixbuch-users] (kein Betreff)
Carsten Lucke
carsten at tool-garage.de
Mi Jun 23 23:27:16 CEST 2004
Hi Patrick,
danke für die Hilfe. Ich schreibe diese Mail von meinem MozIlla-Mail
aus, dass heißt, es hat alles geklappt.
Nochmals vielen Dank!
Gruß,
Carsten :)
Patrick Ben Koetter wrote:
> * Carsten Lucke <luckec at tool-garage.de> [040623 21:24]:
>
>>Ja!
>>
>>Bitte, bitte sag's mir!
>
>
> Debian setzt beim reboot die permissions des saslauthd socket
> directories so, dass Postfix nicht darauf zugreifen darf, _außer_ Du
> nimmst Postfix mit in die Gruppe sasl auf.
>
> Ich zitiere aus einer älteren Mail:
>
> Also das ist IMHO eine Frage, die sich in Richtung Religion und
> Philosophie hineinbewegt; es dreht sich um die Frage, ob man das
> Verzeichnis nur für root:sasl zugängig macht oder für root:anybody.
>
> root:sasl
> So können nur User root und Group sasl zugreifen. Das ist gut, weil
> lokale user mit shell Zugriff nicht auf den socket zugreifen können, um
> ihn evtl. anzuzapfen und so die Kennworte anderer auszuspionieren.
> Auf einem System, bei dem die mailuser auch auf die Shell zugreifen ist
> das ein sinvolles Feature.
>
> root:anybody
> So können User root und Group anybody zugreifen. Das ist gut, weil man
> damit Postfix nicht in eine andere Gruppe aufnehmen muß und folgt dem
> strikten Ansatz des "least privilige" den Postfix verfolgt: "Ich kann
> nicht benutzt werden, wozu ich nicht geschaffen wurde." Das ist gut
> gegen externe Angriffe, weil ein smtpd, der nicht zur Gruppe sasl
> gehört, kann gehackt auch nicht Dinge tun, die sasl tun dürfte.
>
> Die Frage ist IMHO also, was man eher will. Ich bevorzuge letzteres,
> denn ich bin der Meinung, dass eine Gefahr für das System in größerem
> Maße von aussen gegeben ist.
>
> Wenn man weder das eine noch das andere will, sollte man sich von
> saslauthd und seinem (zu schützenden) socket verabschieden und auf die
> auxprop_plugins umsteigen, auth user in z.b. einer MySQL DB anlegen und
> sie so komplett von den lokalen Benutzerdaten in /etc/passwd trennen.
>
> Das ist IMHO die beste Option, denn damit verhindert man viel
> effektiver, dass ein äußerer Angreifer shell Zugang über ausspionieren
> von SMTP AUTH erhält; die Daten in der MySQL DB sind so angelegt, dass
> sie keinen shell Zugang zulassen. Schützen vor lokalen Angreifern muß
> man sich da dann auch nicht so sehr; die könnten zwar die Mailbox eines
> anderen lesen, wenn sie dessen Daten erfahren haben. Zugriff auf andere
> Daten, z.B. das $home des Angegriffenen hätten sie damit immer noch
> nicht.
>
> saslauthd ist IMHO nur dann sinnvoll, wenn man auf /etc/passwd zugreifen
> möchte oder auf IMAP zurückgreifen muss, um zu authentisieren. Für alles
> andere, gibt es mit den auxprop_plugins elegantere, potentiell sicherere
> und vor allem flexiblere Lösungen, die zudem noch andere Mechanismen als
> nur plaintext gestatten; das ist nämlich das einzige was saslauthd kann:
> plaintext...
>
>
> HTH
>
> p at rick
>
>
>
>
>>Carsten :)
>>
>>
>>Quoting Patrick Ben Koetter <p at state-of-mind.de>:
>>
>>
>>>* Carsten Lucke <luckec at tool-garage.de> [040623 21:11]:
>>>
>>>>Und zwar kann ich seit neuestem keine Mails mehr versenden, da der
>>>>Server heute neu gebootet werden musste (das war ein Schreck). ;-) Na
>>>>jedenfalls geht das Abholen der Mails super, SASL funktioniert da ganr
>>>>Klasse. Nur beim Senden ...
>>>>
>>>>Ich erhalte folgende Fehlermeldung:
>>>>
>>>>----------------------
>>>>postfix/smtpd[17930]: SSL_accept:SSLv3 flush data
>>>>postfix/smtpd[17930]: TLS connection established from
>>>>B3cec.b.pppool.de[213.7.60.236]: TLSv1 with cipher DHE-RSA-AES256-SHA
>>>
>>>(256/256
>>>
>>>>bits)
>>>>postfix/smtpd[17930]: connect from B3cec.b.pppool.de[213.7.60.236]
>>>>postfix/smtpd[17930]: warning: SASL authentication failure: cannot connect
>>>
>>>to
>>>
>>>>saslauthd server: Permission denied
>>>>postfix/smtpd[17930]: warning: SASL authentication failure: Password
>>>>verification failed
>>>>postfix/smtpd[17930]: warning: B3cec.b.pppool.de[213.7.60.236]: SASL PLAIN
>>>>authentication failed
>>>>postfix/smtpd[17930]: warning: SASL authentication failure: cannot connect
>>>
>>>to
>>>
>>>>saslauthd server: Permission denied
>>>>postfix/smtpd[17930]: warning: B3cec.b.pppool.de[213.7.60.236]: SASL LOGIN
>>>>authentication failed
>>>>----------------------
>>>>
>>>>Noch zur Info:
>>>>Über Webmail (Horde/IMP) kann ich Mails auch verschicken. Aber da
>>>>verwende ich nicht das SSL, da IMP ja auf dem selben Host läuft. Das
>>>>ist ja dann auch LMPT, wenn ich das richtig verstehe.
>>>
>>>Der Grund warum Du über Webmail versenden darfst ist sehr
>>>wahrscheinlich, dass der über localhost auf Postfix zugreift und
>>>127.0.0.0/8 in mynetworks ist, also sich gar nicht authentisieren muss.
>>>
>>>
>>>>Laut ps -A läuft sowohl saslauthdb sowie postfix.
>>>>
>>>>Kann mir bitte jemand helfen?
>>>
>>>Benützt Du Debian? Dann wäre die Antwort leicht...
>>>
>>>p at rick
>>>
>>>--
>>>Patrick Koetter <p at state-of-mind.de>
>>>http://postfix.state-of-mind.de/patrick.koetter/
>>>
>>>--
>>>_______________________________________________
>>>Postfixbuch-users mailingliste
>>>JPBerlin - Mailbox und Politischer Provider
>>>Postfixbuch-users at listi.jpberlin.de
>>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>>
>>>
>>
>>
>>
>>
>>----------------------------------------------------------------
>>This message was sent using IMP, the Internet Messaging Program.
>>--
>>_______________________________________________
>>Postfixbuch-users mailingliste
>>JPBerlin - Mailbox und Politischer Provider
>>Postfixbuch-users at listi.jpberlin.de
>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users