[Postfixbuch-users] postfix tls passphrase

Andreas Schulze andreas.schulze at datev.de
So Feb 15 20:24:42 CET 2009


geht nicht;
Schlüsselmateriel muß im Klartext vorliegen.

eine Passphrase ist ja auch nur eine kleine Hürde mehr,
Sie liegt ja auch im Klartext auf Platte.

chroot einrichten, die Schlüssel nur außerhalb der chroot speichern
und Rechte korrekt setzen:

chmod 0400 $keyfile und chown root:root $keyfile sind ok.

Alternativ bleibt nur ein Hardware-Modul als Keystorage.
aber $$$$$$$

Andreas.


Am 15.02.2009 18:01 schrieb Carsten Henkel:
> hallo zusammen,
>
> meine certs waren abgelaufen, also wurden neue erstellt.
> dovecot ist über meine passphrase gestolpert, da kann man dieses problem  
> mit einem parameter umgehen (passphrase hinterlegen).
> wie kann ich nun postfix sagen, welche passphrase der key hat ?
>
> postconf -n |grep tls
> smtp_tls_CAfile = /usr/share/ssl/certs/ca-bundle.crt
> smtp_tls_cert_file = /etc/ssl/postfix/mein.crt
> smtp_tls_key_file = /etc/ssl/postfix/mein.key
> smtp_tls_note_starttls_offer = yes
> smtp_use_tls = yes
> smtpd_tls_CAfile = /usr/share/ssl/certs/ca-bundle.crt
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/ssl/postfix/mein.crt
> smtpd_tls_key_file = /etc/ssl/postfix/mein.key
> smtpd_tls_loglevel = 0
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
>
> -- 
> Vertrauen ist das Gefühl, einem Menschen sogar dann glauben zu können,  
> wenn man weiß, daß man an seiner Stelle lügen würde.
>
> * Dieser Zufallstext hat nichts mit dem Empfänger der eMail zu tun
> -- 
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Andreas Schulze
Internet-/Security-Dienste

DATEV eG
90329 Nürnberg | Telefon +49 911 319-0 | Telefax +49 911 319-3196
E-Mail info @datev.de | Internet www.datev.de
Sitz: 90429 Nürnberg, Paumgartnerstr. 6-14 | Registergericht Nürnberg, GenReg Nr.70
Vorstand
Prof. Dieter Kempf (Vorsitzender)
Dipl.-Kfm. Wolfgang Stegmann (stellvertretender Vorsitzender)
Dipl.-Kfm. Michael Leistenschneider
Jörg Rabe v. Pappenheim
Dipl.-Vw. Eckhard Schwarzer
Vorsitzender des Aufsichtsrates: Reinhard Verholen




Mehr Informationen über die Mailingliste Postfixbuch-users