[Postfixbuch-users] (kein Betreff)

Patrick Ben Koetter p at state-of-mind.de
Mi Jun 23 23:07:08 CEST 2004


* Carsten Lucke <luckec at tool-garage.de> [040623 21:24]:
> Ja!
> 
> Bitte, bitte sag's mir!

Debian setzt beim reboot die permissions des saslauthd socket
directories so, dass Postfix nicht darauf zugreifen darf, _außer_ Du
nimmst Postfix mit in die Gruppe sasl auf.

Ich zitiere aus einer älteren Mail:

Also das ist IMHO eine Frage, die sich in Richtung Religion und
Philosophie hineinbewegt; es dreht sich um die Frage, ob man das
Verzeichnis nur für root:sasl zugängig macht oder für root:anybody.

root:sasl
So können nur User root und Group sasl zugreifen. Das ist gut, weil
lokale user mit shell Zugriff nicht auf den socket zugreifen können, um
ihn evtl. anzuzapfen und so die Kennworte anderer auszuspionieren.
Auf einem System, bei dem die mailuser auch auf die Shell zugreifen ist
das ein sinvolles Feature.

root:anybody
So können User root und Group anybody zugreifen. Das ist gut, weil man
damit Postfix nicht in eine andere Gruppe aufnehmen muß und folgt dem
strikten Ansatz des "least privilige" den Postfix verfolgt: "Ich kann
nicht benutzt werden, wozu ich nicht geschaffen wurde." Das ist gut
gegen externe Angriffe, weil ein smtpd, der nicht zur Gruppe sasl
gehört, kann gehackt auch nicht Dinge tun, die sasl tun dürfte.

Die Frage ist IMHO also, was man eher will. Ich bevorzuge letzteres,
denn ich bin der Meinung, dass eine Gefahr für das System in größerem
Maße von aussen gegeben ist.

Wenn man weder das eine noch das andere will, sollte man sich von
saslauthd und seinem (zu schützenden) socket verabschieden und auf die
auxprop_plugins umsteigen, auth user in z.b. einer MySQL DB anlegen und
sie so komplett von den lokalen Benutzerdaten in /etc/passwd trennen.

Das ist IMHO die beste Option, denn damit verhindert man viel
effektiver, dass ein äußerer Angreifer shell Zugang über ausspionieren
von SMTP AUTH erhält; die Daten in der MySQL DB sind so angelegt, dass
sie keinen shell Zugang zulassen. Schützen vor lokalen Angreifern muß
man sich da dann auch nicht so sehr; die könnten zwar die Mailbox eines
anderen lesen, wenn sie dessen Daten erfahren haben. Zugriff auf andere
Daten, z.B. das $home des Angegriffenen hätten sie damit immer noch
nicht.

saslauthd ist IMHO nur dann sinnvoll, wenn man auf /etc/passwd zugreifen
möchte oder auf IMAP zurückgreifen muss, um zu authentisieren. Für alles
andere, gibt es mit den auxprop_plugins elegantere, potentiell sicherere
und vor allem flexiblere Lösungen, die zudem noch andere Mechanismen als
nur plaintext gestatten; das ist nämlich das einzige was saslauthd kann:
plaintext...


HTH

p at rick



> 
> Carsten :)
> 
> 
> Quoting Patrick Ben Koetter <p at state-of-mind.de>:
> 
> > * Carsten Lucke <luckec at tool-garage.de> [040623 21:11]:
> > > Und zwar kann ich seit neuestem keine Mails mehr versenden, da der
> > > Server heute neu gebootet werden musste (das war ein Schreck). ;-) Na
> > > jedenfalls geht das Abholen der Mails super, SASL funktioniert da ganr
> > > Klasse. Nur beim Senden ...
> > >
> > > Ich erhalte folgende Fehlermeldung:
> > >
> > > ----------------------
> > > postfix/smtpd[17930]: SSL_accept:SSLv3 flush data
> > > postfix/smtpd[17930]: TLS connection established from
> > > B3cec.b.pppool.de[213.7.60.236]: TLSv1 with cipher DHE-RSA-AES256-SHA
> > (256/256
> > > bits)
> > > postfix/smtpd[17930]: connect from B3cec.b.pppool.de[213.7.60.236]
> > > postfix/smtpd[17930]: warning: SASL authentication failure: cannot connect
> > to
> > > saslauthd server: Permission denied
> > > postfix/smtpd[17930]: warning: SASL authentication failure: Password
> > > verification failed
> > > postfix/smtpd[17930]: warning: B3cec.b.pppool.de[213.7.60.236]: SASL PLAIN
> > > authentication failed
> > > postfix/smtpd[17930]: warning: SASL authentication failure: cannot connect
> > to
> > > saslauthd server: Permission denied
> > > postfix/smtpd[17930]: warning: B3cec.b.pppool.de[213.7.60.236]: SASL LOGIN
> > > authentication failed
> > > ----------------------
> > >
> > > Noch zur Info:
> > > Über Webmail (Horde/IMP) kann ich Mails auch verschicken. Aber da
> > > verwende ich nicht das SSL, da IMP ja auf dem selben Host läuft. Das
> > > ist ja dann auch LMPT, wenn ich das richtig verstehe.
> >
> > Der Grund warum Du über Webmail versenden darfst ist sehr
> > wahrscheinlich, dass der über localhost auf Postfix zugreift und
> > 127.0.0.0/8 in mynetworks ist, also sich gar nicht authentisieren muss.
> >
> > > Laut ps -A läuft sowohl saslauthdb sowie postfix.
> > >
> > > Kann mir bitte jemand helfen?
> >
> > Benützt Du Debian? Dann wäre die Antwort leicht...
> >
> > p at rick
> >
> > --
> > Patrick Koetter <p at state-of-mind.de>
> > http://postfix.state-of-mind.de/patrick.koetter/
> >
> > --
> > _______________________________________________
> > Postfixbuch-users mailingliste
> > JPBerlin - Mailbox und Politischer Provider
> > Postfixbuch-users at listi.jpberlin.de
> > http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> >
> >
> 
> 
> 
> 
> ----------------------------------------------------------------
> This message was sent using IMP, the Internet Messaging Program.
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Patrick Koetter <p at state-of-mind.de>
http://postfix.state-of-mind.de/patrick.koetter/




Mehr Informationen über die Mailingliste Postfixbuch-users