smyda: SPECS qmail.spec

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Pon, 13 Mar 2000, 17:06:02 CET 

On Mon, 13 Mar 2000, Grzegorz Stanislawski wrote:

> 
> sory ze odpowiadam hurtem, ale stare maile juz pokasowalem.
> 
> On Mon, 13 Mar 2000, Jacek Smyda wrote:
> 
> > [piątek, 10 marzec 2000], Tomasz Kłoczko napisał(a):
> > 
> > > > > To samo dotyczy wymiany root.root na root.qmail na prawie wszystkich
> > > > > binarkach które maja 755. czy root.root przeszkadza w czyś ? 
> 
> Skoro juz sa takie konta i grupy jak qmail to mozna by je uzyc, chocby do
> delegowania zarzadzania poczta.

Nie wiem jak to jest dokładnie ale jedyne co mi się narzuca na czoło to
zmienienie praw do binarki raportującej stan kolejki poczty. Wtedy
oczywiście dostep do plików/katalogu z kolejką musiałby być dla specjalnej
grupy i żeby mozan było urucjhomić ten program trzebabyłoby być w tej
grupie.

> Taki admin qmaila nie koniecznie musi miec roota, jesli bedzie mial
> binarki g+x qmail i configi g+w qmail to bedzie mogl sie nimi
> zajmowac. Oczywiscie pozostaje pytanie czy takie delegowanie ma byc
> przewidziane na poziomie dystrybucji czy zainteresowani admini maja
> takie cos sami sobie zrobic.

Zdaje się, że masz na myśli mniej wiecej to samo co ja :-)

Nie wiem na ile jest to do upowszechnienia ale dobrze byłoby mieć podobna
możliwość w przypadku innych MTA.

Tak wogóle. Czy są tutaj osoby używajace zmailera ? jezeli tak to jest
jedna ważna rzecz do poprawienia w zmailerze (oprósz upgradeu do .52 :).
Otóz zmailer ma włąsny serwis dostepny chyba na porcie 142 czy 147 na
którym wystawia informacje o kolejkach z pocztą. Otóż ten serwis jest
word readable. Wystarczy mieć zmailerowego mailq lub telneta i odrobinę
wprawy żeby z nieporawnie skonfigurowanego hosta zczytać zdalnie stan
kolejek.
Rozwiazwnia:
- na szybko: zmaler musi być konfigurowany z libwrap, a w %post mogłoby
  być dodawane do /etc/tcpd/hosts.allow "<port_mailq>: localhost" lub coś
  takiego,
- powyzsze rozwiazenie nie zabezpieczy przed uwidocznianiem, że port jest
  aktywny i może posłużyć do generowania DoSa przy odpytywaniu o stan
  kolejki nawet przy wpise w hosts.deny więc najlepiej byłoby wręcz dodać
  może nawet automatycznie lub półautomatycznie odpowiednią regółkę na FW
  lub przynajmeniej dodać gdzieś wypisywanie informacji o tym, że coś
  takiego należy dodać.

> > > > > Rozumiałbym
> > > > > zmianę na root.qmail gdyby binarki były ggid exec ale nie są więc po co to

> ten tekst o sgid qmail swiadczy tylko o braku zrozumienia funkcjonowania
> systemu uprawnien.

Dlaczego ? Czyżby qmail używał sobie tego w jakiś specjalny sposób
? jeżeli tak to raczej twórca qmaila nie rozumie do czego służą atrybuty
.. chyba że to nadal ja czegoś nie rozumiem.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*


_________________________
polish linux distribution

Więcej informacji o liście dyskusyjnej pld-devel-pl