[Postfixbuch-users] cyrus21-admin_2.1.18-1 Debian sql und auxprob

Patrick Ben Koetter p at state-of-mind.de
Do Dez 29 22:43:46 CET 2005


* Holm Kapschitzki <holm at oleco.net>:
> Hallo,
> 
> wie bekomme ich heraus ob mein cyrus21-admin_2.1.18-1 Debian Sasl 
> Paketmit sql Unterstützung kompiliert wurde. Habe es mit apt-get 
> installiert ? Ich möchte ferner das "auxprob" Plugin benutzen um Cyrus 

auxprop nicht auxprob...

Wenn ein "ls -l /usr/lib/sasl2/ | grep sql" nichts zurückgibt, dann sind die
libsql.* libs nicht installiert. Die kann man IIRC mit apt-get nachziehen. Wie
die genau heissen, weis ich nicht. Ich bin kein Debianer.

> über sql authentifizieren zu lassen. Gibt es denn da nicht im Paket 
> cyrus21-admin_2.1.18-1 Probleme mit dem "realm" ?

Keine Ahnung.

> Dann würde nämlich folgende Abfrage gar nicht funktionieren aus smtpd.conf
> 
> sql_select: SELECT password FROM mailusers WHERE account = '%u@%r'
> 
> Was ich auch nicht verstanden habe ist das mit den Passwörtern in der 
> mysql. Die dürfen also bei cyrus21-admin_2.1.18-1 nicht verschlüsselt 
> abgelegt werden ?

Ja, das hast Du richtig verstanden. Das liegt daran, dass die Strategie der
Mechanismen CRAM-MD5 und DIGEST-MD5 das unverschlüsselte Passwort aus dem
authentication-backend (hier: MySQL) holen müssen - sie benötigen es, um die
Challenge (beide Mechanismen sind Challenge-Response-Strategien) zu
generieren. Da reicht ein einfaches: "Ich habe hier ein Passwort. Stimmt das?"
Und dann antwortet die DB "ja" oder "nein" einfach nicht. Diese Strategien
verifzieren das Passwort nicht, sondern sie benützen es, für etwas anders.
Also müssen sie unverschlüsselt an das Ding ran.

Vorteil: Das Passwort wird NIE über den Draht gesendet.
Nachteil: Wer den Server unter Kontrolle hat, hat Zugriff auf die Passwörter.

Frage: Wenn Du Deinen Server sauber wartest und die Regeln guter Konfiguration
und Administration beachtest, ist es dann wahrscheinlicher, dass Deine
Maschine aufgemacht wird, weil jemand einen Dienst kompromitiert oder weil ein
Passwort in Erfahrung gebracht und anschließend missbraucht wurde?

Meine Antwort: Passwort-Mißbrauch ist IMO leichter. Deshalb habe ich meine
Kunden komplett von System-Usern abgekoppelt. Wer das Passwort rauskriegt,
kann höchstens wie die Hölle E-Mail absetzen. Das würde mich persönlich als
Postfix-Freak richtig in der Ehre kränken, aber sowas überlebe ich leicht.
Wenn allerdings der Server komplett unter anderer Kontrolle ist, dann sind
Passwörter oder mein Ehrgefühl nicht mehr meine größte Sorge...

Entscheide selbst. Ich will hier keinen Glaubenskrieg losbrechen. Nur für den
Fall, dass es soweit kommen sollte: "Ja, ich mag die Beatles lieber als die
Stones." ;)

p at rick

-- 
Das »Postfix«-Buch
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>



Mehr Informationen über die Mailingliste Postfixbuch-users