dovecot virtual users - eigene Gruppe/User?

16/11/2016 - 17:34 von Magnus Warker | Report spam
Hallo,

ich setze gerade zum wiederholten Male dovecot mit virtuellen Usern auf.
Bisher habe ich dafür immer eine extra Gruppe (vmail) und einen extra
User (vmail) un einen extra Ordner /var/mail/vmail verwendet, und zwar
deshalb, weil es in irgendwelchen Howtos steht.

Diesmal möchte ich das mal etwas hinterfragen und meine
Standardkonfiguration ggf. etwas verschlanken. In der originàren
Dokumentation von dovecot habe ich dazu nichts gefunden.

Sowohl postfix/master als auch dovecot laufen als root. Die Benutzer
greifen ohnehin nicht auf das Filesystem auf ihre Mals zu, sondern über
IMAP. Wozu also eine eigene Gruppe/User? Ist das tatsàchlich notwendig?

Magnus
 

Lesen sie die antworten

#1 Sven Hartge
16/11/2016 - 17:59 | Warnen spam
Magnus Warker wrote:

ich setze gerade zum wiederholten Male dovecot mit virtuellen Usern
auf. Bisher habe ich dafür immer eine extra Gruppe (vmail) und einen
extra User (vmail) un einen extra Ordner /var/mail/vmail verwendet,
und zwar deshalb, weil es in irgendwelchen Howtos steht.

Diesmal möchte ich das mal etwas hinterfragen und meine
Standardkonfiguration ggf. etwas verschlanken. In der originàren
Dokumentation von dovecot habe ich dazu nichts gefunden.

Sowohl postfix/master als auch dovecot laufen als root. Die Benutzer
greifen ohnehin nicht auf das Filesystem auf ihre Mals zu, sondern
über IMAP. Wozu also eine eigene Gruppe/User? Ist das tatsàchlich
notwendig?



Sowohl postfix wie auch dovecot werfen ihre Rechte weg, sobald sie diese
nicht mehr brauchen, um Auswirkungen von Fehlern zu minimieren.

postfix und dovecot dürften sogar durch das setzen passender Capabilites
so konfigurierbar sein, dass sie gar nicht mehr als root starten müssen,
um Ports <1024 zu binden.

postfix sollte sich außerdem weigern, Mail an root zuzustellen, weil
dadurch durch externen, unkontrollierten Input Dinge/Programme als root
getriggert werden könnten (z.B. durch procmail getriggerte weitere
Programme, etc.).

Fehler sind in jeder Software vorhanden, um die Auswirkungen einzudàmmen
ist ein unprivilegierter Benutzer, unter dem der großteil des Codes
làuft, ein guter Anfang.

Die Frage, in die die Entwicklung bei vielen netzlauschenden Programmen
geht ist daher nicht "brauche ich einen separaten User?" sondern eher
"brauche ich noch root?" um meine Arbeit zu machen.



Sigmentation fault. Core dumped.

Ähnliche fragen