Hoi, folgendes Problem: habe Postfix und Cyrus-Salsl laufen für clientanmeldung per SMTP-AUTH. Dabei greife ich per SASL auf die /etc/shadow zu. postfix läuft non-chrooted und der user postfix gehört der gruppe postfix und root an. Trotzdem muß die shadow chmod 444 haben damit die Anmeldung klappt. Weiß jemand warum ? ich hätte die shadow gerne wieder chmod 400.
Und dann würde ich noch gerne Wissen ob es möglich ist, bzw. wie es möglich ist, an eine zu versendende Mail den Header (AUTH webXpX) anzuhängen wie ich das bei einigen Mailanbietern habe.
Postfix und SASL
Re: Postfix und SASL
a) Ã?berlege das doch nochmal genau:
Postfix läuft als postfix.root (btw. sicher nicht gerade ratsam, das als gruppe root laufen zu lassen!). Die shadow gehört root.root (nehme ich an). Ergo müsste die shadow mindestens 440 haben, damit postfix über seine Gruppe noch zugreifen kann. Aber glaube mir, so ein Setup willst du nicht haben.
In de.comm.software.mailserver wurde für dieses altbekannte Problem (welches unabhängig vom MTA ist) vorgeschlagen, man solle regelmässig per Cron die shadow in ein Verzeichnis des MTA kopieren und diese Kopie mit entsprechend restriktiven Rechten ausstatten, dass nur der User des MTAs drauf zugreifen kann.
b) Mit Exim ist das kein Problem. IIRC hatte ebenso in obiger Gruppe mir mal jemand gesagt, dass Postfix keine Möglichkeit hat, die Received Zeilen anzupassen. Könnte sich ja aber in der Zwischenzeit auch geändert haben...
Postfix läuft als postfix.root (btw. sicher nicht gerade ratsam, das als gruppe root laufen zu lassen!). Die shadow gehört root.root (nehme ich an). Ergo müsste die shadow mindestens 440 haben, damit postfix über seine Gruppe noch zugreifen kann. Aber glaube mir, so ein Setup willst du nicht haben.
In de.comm.software.mailserver wurde für dieses altbekannte Problem (welches unabhängig vom MTA ist) vorgeschlagen, man solle regelmässig per Cron die shadow in ein Verzeichnis des MTA kopieren und diese Kopie mit entsprechend restriktiven Rechten ausstatten, dass nur der User des MTAs drauf zugreifen kann.
b) Mit Exim ist das kein Problem. IIRC hatte ebenso in obiger Gruppe mir mal jemand gesagt, dass Postfix keine Möglichkeit hat, die Received Zeilen anzupassen. Könnte sich ja aber in der Zwischenzeit auch geändert haben...
Re: Postfix und SASL
Mhh...
Ich nutze postfix - sasl2 (saslauthd) - pam - passwd/shadow und meine
shadow hat 640. Cyrus greift ja auf die Datei zu, nicht postfix.
Zumindest ist das bei sasl2 so der fall und der saslauthd läuft ja mit root.
Gruß
Mark
Ich nutze postfix - sasl2 (saslauthd) - pam - passwd/shadow und meine
shadow hat 640. Cyrus greift ja auf die Datei zu, nicht postfix.
Zumindest ist das bei sasl2 so der fall und der saslauthd läuft ja mit root.
Gruß
Mark