[Postfixbuch-users] cyrus21-admin_2.1.18-1 Debian sql und auxprob

Holm Kapschitzki holm at oleco.net
Do Dez 29 23:28:10 CET 2005


Patrick Ben Koetter schrieb:

>Wenn ein "ls -l /usr/lib/sasl2/ | grep sql" nichts zurückgibt, dann sind die
>libsql.* libs nicht installiert. Die kann man IIRC mit apt-get nachziehen. Wie
>die genau heissen, weis ich nicht. Ich bin kein Debianer.
>  
>

sind nicht mit drin. Ich werd mich mal auf die Suche machen ....

>Ja, das hast Du richtig verstanden. Das liegt daran, dass die Strategie der
>Mechanismen CRAM-MD5 und DIGEST-MD5 das unverschlüsselte Passwort aus dem
>authentication-backend (hier: MySQL) holen müssen - sie benötigen es, um die
>Challenge (beide Mechanismen sind Challenge-Response-Strategien) zu
>generieren. Da reicht ein einfaches: "Ich habe hier ein Passwort. Stimmt das?"
>Und dann antwortet die DB "ja" oder "nein" einfach nicht. Diese Strategien
>verifzieren das Passwort nicht, sondern sie benützen es, für etwas anders.
>Also müssen sie unverschlüsselt an das Ding ran.
>
>Vorteil: Das Passwort wird NIE über den Draht gesendet.
>Nachteil: Wer den Server unter Kontrolle hat, hat Zugriff auf die Passwörter.
>
>Frage: Wenn Du Deinen Server sauber wartest und die Regeln guter Konfiguration
>und Administration beachtest, ist es dann wahrscheinlicher, dass Deine
>Maschine aufgemacht wird, weil jemand einen Dienst kompromitiert oder weil ein
>Passwort in Erfahrung gebracht und anschließend missbraucht wurde?
>
>Meine Antwort: Passwort-Mißbrauch ist IMO leichter. Deshalb habe ich meine
>Kunden komplett von System-Usern abgekoppelt. Wer das Passwort rauskriegt,
>kann höchstens wie die Hölle E-Mail absetzen. Das würde mich persönlich als
>Postfix-Freak richtig in der Ehre kränken, aber sowas überlebe ich leicht.
>Wenn allerdings der Server komplett unter anderer Kontrolle ist, dann sind
>Passwörter oder mein Ehrgefühl nicht mehr meine größte Sorge...
>
>Entscheide selbst. Ich will hier keinen Glaubenskrieg losbrechen. Nur für den
>Fall, dass es soweit kommen sollte: "Ja, ich mag die Beatles lieber als die
>Stones." ;)
>
>p at rick
>
>  
>

Ich habe vor soviele Mechanismen wie möglich einzusetzen, wenn clineten 
über meine Mailserver Emails abschicken. Nach vielem Lesen auch Deines / 
Euren Buches bin ich auch zu dem Entschluß gekommen, alle Benutzer vom 
System abzukoppeln. An dieser Stelle vielleicht noch ein Hinweis. Warum 
greift eigentlich keiner den Cyrus- Imap in beiden Büchern so richtig 
auf. Es liegt doch in der Hand Postfix mit Cyrus Imap zu benutzen, der 
auch wunderbar mit virtuellen Domänen umgehen kann. Stattdessen ist den 
"Virtual domain mailbox" so viel gewidmet. Ich selber mach mich da 
lieber an Postfix -> Cyrus Imap -> MySQL. Wobei Cyrus und Postfix 
dieselben Datenbanken benutzen sollen. Klar ldap ist vielleicht noch 
wichtiger, da geht Ihr ja richtig gut drauf ein.

Gruß Holm



Mehr Informationen über die Mailingliste Postfixbuch-users