opensuse
[Arriba] [Todas las Listas]

Re: [opensuse] Authentication Cuestión Cyrus-Imap / Postfix

To: opensuse@xxxxxxxxxxxx
Subject: Re: [opensuse] Authentication Cuestión Cyrus-Imap / Postfix
From: Jim Flanagan <linuxjim@xxxxxxxxxx>
Date: Fri, 13 Apr 2012 06:59:02 -0500
Delivered-to: opensuse@xxxxxxxxxxxxxxxxxxx
Delivery-date: Fri, 13 Apr 2012 07:59:47 -0400
Envelope-to: traductor@xxxxxxxxxxx
In-reply-to: <4F87D950.2090203@gmx.de>
List-archive: <http://lists.opensuse.org/opensuse/>
List-help: <mailto:opensuse+help@opensuse.org>
List-owner: <mailto:opensuse+owner@opensuse.org>
List-post: <mailto:opensuse@opensuse.org>
List-subscribe: <mailto:opensuse+subscribe@opensuse.org>
List-unsubscribe: <mailto:opensuse+unsubscribe@opensuse.org>
Mailing-list: contact opensuse+help@xxxxxxxxxxxx; run by mlmmj
References: <4F86D8F4.2000004@gmx.de> <4F86E059.3000609@jjfiii.com> <4F86E368.1060006@gmx.de> <1334255166.4501.4.camel@p105s6207.site> <4F87D950.2090203@gmx.de>
User-agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.6; rv:11.0) Gecko/20120327 Thunderbird/11.0.1
En 4/13/12 2:44 AM, Thomas *Etheber escribió:
Soy 12.04.2012 20:26, *schrieb Adam *Tauno Williams:

$> *chmod 444 /*etc/*postfix/*certs/*mailkey.*pem
$> *ll /*etc/*postfix/*certs/*mailkey.*pem
-*r--*r--*r-- 1 raíz de raíz 916 12. *Apr 13:49 *mailkey.*pem
Hace cualquiera sabe, si los derechos de usuario cambiados son un potencial
*secuirty preocupación?

Sí, enorme. nunca hay nunca ninguno razona un *archivo* clave tendría que ser mundial
*readable.

Si te ha /*etc/*ssl/algunos.Llave que necesita ser *readable por usuario *cyrus
y correo de usuario entonces -

*chmod 000 /*etc/*ssl/algunos.Clave
*setfacl -*m *u:correo:*r /*etc/*ssl/algunos.Clave
*setfacl -*m *u:*cyrus:*r /*etc/*ssl/algunos.Clave


*Thank Adam *Tauno Williams, era un poco sospechoso también, pero no había
pensado de proporcionar separa acceso/correcto leído para usuarios especiales.

No había montado el *fs habiendo *setfacl apoyo, así que opté para añadir un
grupo separado:

*groupadd *ssl
*usermod -Un correo,*ssl *postfix
*usermod -Un *postfix,*ssl *cyrus
*chown *postfix:*ssl *mailkey.*pem
*chmod 440 *mailkey.*pem


Utilicé *doplhin director de archivo. Clic correcto vuestro archivo, va a permisos, entonces adelantado. Añade usuario "*cyrus", y *uncheck escribir y *executable. Dejar leer comprobado para "*cyrus". Bastante fácil.

*Jim F
--
A *unsubscribe, *e-correo: *opensuse+unsubscribe@xxxxxxxxxxxx
para contactar el dueño, *e-correo: *opensuse+owner@xxxxxxxxxxxx


On 4/13/12 2:44 AM, Thomas Etheber wrote:
Am 12.04.2012 20:26, schrieb Adam Tauno Williams:

$> chmod 444 /etc/postfix/certs/mailkey.pem
$> ll /etc/postfix/certs/mailkey.pem
-r--r--r-- 1 root root 916 12. Apr 13:49 mailkey.pem
Does any one know, whether the changed user rights are a potential
secuirty concern?

Yes, huge. There is never ever any reason a *key* file should be world
readable.

If you have /etc/ssl/some.key that needs to be readable by user cyrus
and user mail then -

chmod 000 /etc/ssl/some.key
setfacl -m u:mail:r /etc/ssl/some.key
setfacl -m u:cyrus:r /etc/ssl/some.key


Thank's Adam Tauno Williams, I was a bit suspicious too, but hadn't
thought of providing separate read/right access for special users.

I hadn't mounted the fs having setfacl support, so I opted to add a
separate group:

groupadd ssl
usermod -A mail,ssl postfix
usermod -A postfix,ssl cyrus
chown postfix:ssl mailkey.pem
chmod 440 mailkey.pem


I used doplhin file manager. Right click your file, go to permissions, then advanced. Add user "cyrus", and uncheck write and executable. Leave read checked for "cyrus". Pretty easy.

Jim F
--
To unsubscribe, e-mail: opensuse+unsubscribe@xxxxxxxxxxxx
To contact the owner, e-mail: opensuse+owner@xxxxxxxxxxxx


<Anterior por Tema] Tema Actual [Siguiente por Tema>