opensuse
[Arriba] [Todas las Listas]

Re: [opensuse] Authentication Cuestión Cyrus-Imap / Postfix

To: opensuse@xxxxxxxxxxxx
Subject: Re: [opensuse] Authentication Cuestión Cyrus-Imap / Postfix
From: Adam Tauno Williams <awilliam@xxxxxxxxxxxxx>
Date: Thu, 12 Apr 2012 14:26:06 -0400
Delivered-to: opensuse@xxxxxxxxxxxxxxxxxxx
Delivery-date: Thu, 12 Apr 2012 14:26:28 -0400
Envelope-to: traductor@xxxxxxxxxxx
In-reply-to: <4F86E368.1060006@gmx.de>
List-archive: <http://lists.opensuse.org/opensuse/>
List-help: <mailto:opensuse+help@opensuse.org>
List-owner: <mailto:opensuse+owner@opensuse.org>
List-post: <mailto:opensuse@opensuse.org>
List-subscribe: <mailto:opensuse+subscribe@opensuse.org>
List-unsubscribe: <mailto:opensuse+unsubscribe@opensuse.org>
Mailing-list: contact opensuse+help@xxxxxxxxxxxx; run by mlmmj
References: <4F86D8F4.2000004@gmx.de> <4F86E059.3000609@jjfiii.com> <4F86E368.1060006@gmx.de>
Reply-to: awilliam@xxxxxxxxxxxxx
> > Tuve este problema. Marca seguro añades el usuario *cyrus para tener acceso leído
> > a vuestro certificado, y acceso leído quizás a vuestra llave privada también. Aquello
> > lo fijó para mí. Utilizo *STARTTLS en puerto 143.
> @Por *Jessen: *Thank te para vuestras pistas. Tuve una mirada corta en el *cyrus 
> documentación y no fue capaz de encontrar un depurar bandera.
> @*Jim *Flanagan: Sí, realmente soluciona este problema. Justo añadí un
> $> *chmod 444 /*etc/*postfix/*certs/*mailkey.*pem
> $> *ll /*etc/*postfix/*certs/*mailkey.*pem
> -*r--*r--*r-- 1 raíz de raíz 916 12. *Apr 13:49 *mailkey.*pem
> Hace cualquiera sabe, si los derechos de usuario cambiados son un potencial 
> *secuirty preocupación?

Sí, enorme.  nunca hay nunca ninguno razona un *archivo* clave tendría que ser mundial
*readable.

Si te ha /*etc/*ssl/algunos.Llave que necesita ser *readable por usuario *cyrus
y correo de usuario entonces -

*chmod 000 /*etc/*ssl/algunos.Clave
*setfacl -*m *u:correo:*r /*etc/*ssl/algunos.Clave
*setfacl -*m *u:*cyrus:*r /*etc/*ssl/algunos.Clave

-- 
A *unsubscribe, *e-correo: *opensuse+unsubscribe@xxxxxxxxxxxx
para contactar el dueño, *e-correo: *opensuse+owner@xxxxxxxxxxxx


> > I had this problem. Make sure you add the user cyrus to have read access
> > to your certificate, and maybe read access to your private key too. That
> > fixed it for me. I use STARTTLS on port 143.
> @Per Jessen: Thank you for your hints. I had a short look at the cyrus 
> documentation and wasn't able to find a debug flag.
> @Jim Flanagan: Yes, it really solves this problem. I just added a
> $> chmod 444 /etc/postfix/certs/mailkey.pem
> $> ll /etc/postfix/certs/mailkey.pem
> -r--r--r-- 1 root root 916 12. Apr 13:49 mailkey.pem
> Does any one know, whether the changed user rights are a potential 
> secuirty concern?

Yes, huge.  There is never ever any reason a *key* file should be world
readable.

If you have /etc/ssl/some.key that needs to be readable by user cyrus
and user mail then -

chmod 000 /etc/ssl/some.key
setfacl -m u:mail:r /etc/ssl/some.key
setfacl -m u:cyrus:r /etc/ssl/some.key

-- 
To unsubscribe, e-mail: opensuse+unsubscribe@xxxxxxxxxxxx
To contact the owner, e-mail: opensuse+owner@xxxxxxxxxxxx


<Anterior por Tema] Tema Actual [Siguiente por Tema>