[Primipassi] 'Sti permessi e 'sti gruppi

Sergio Ballestrero sballestrero@interfree.it
Gio 15 Mar 2001 15:52:13 CET 

On Mon, 12 Mar 2001, Manuel Toniato wrote:
>
> Pensavo di aver risolto il problema dei permessi per spedire la posta.
> Invece oggi pur non avendo cambiato nulla (almeno mi sembra) non funziona
> niente.
> Ho paura che dipenda dai gruppi a cui ho iscritto il mio utente:
> non è che qualcuno mi può dire ogni gruppo presente in /etc/group a che
> servizi da accesso?? Non so dove trovare info in proposito (sulle man pages
> non c'è nulla e nemmeno su AppuntiLinux).

 E sara' molto difficile che tu le trovi, dato che non sono completamente
standardizzate, e difficilmente potrebbero esserlo, visto che dipendono da
che rapporto sicurezza/comodita' si vuole avere, dalle abitudini del
sysadmin etc.

 Comunque un utente non dovrebbe avere bisogno di essere in nessun gruppo
in particolare per utilizzare la posta. Quelli che devono andare d'accordo
sono i permessi sulle directory utilizzate dal sistema di posta, e
l'utente/gruppo sotto cui gira il programma di posta, e i programmi di
consegna della posta. Il client, invece, non deve aver bisogno di essere
suid.
 Postfix parte come root, ma poi usa, per la maggior parte delle
operazioni, l'id dell'utente a cui viene consegnata la posta, o un id
proprio. Da main.cf:

# QUEUE AND PROCESS OWNERSHIP
#
# The mail_owner parameter specifies the owner of the Postfix queue
# and of most Postfix daemon processes.  Specify the name of a user
# account THAT DOES NOT SHARE A GROUP WITH OTHER ACCOUNTS AND THAT
# OWNS NO OTHER FILES OR PROCESSES ON THE SYSTEM.  In particular,
# don't specify nobody or daemon. PLEASE USE A DEDICATED USER.
#
mail_owner = postfix

# The default_privs parameter specifies the default rights used by
# the local delivery agent for delivery to external file or command.
# These rights are used in the absence of a recipient user context.
# DO NOT SPECIFY A PRIVILEGED USER OR THE POSTFIX OWNER.
#
default_privs = nobody

 Infatti si vede
[sb@pcsash sb]$ ps xafwu
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root       587  0.0  0.5  1592  724 ?        S    15:17   0:00 /usr/lib/postfix/master
postfix    591  0.0  0.5  1588  696 ?        S    15:17   0:00  \_ pickup -l -t fifo
postfix    592  0.0  0.6  1724  868 ?        S    15:17   0:00  \_ qmgr -l -t fifo -u


[sb@pcsash sb]$ id postfix
uid=102(postfix) gid=234(postfix) groups=234(postfix)
[sb@pcsash sb]$ id nobody
uid=99(nobody) gid=99(nobody) groups=99(nobody)

 i permessi sulle directory /var te li avevo gia' postati...

 Procmail, invece, e' bene sia sgid mail, per poter scrivere nella
directory /var/spool/mail:
[sb@pcsash sb]$ rpm -ql procmail|grep bin|xargs ls -la
-rwxr-xr-x    1 root     root        28192 Oct  3 04:47 /usr/bin/formail
-rwxr-sr-x    1 root     mail        14444 Oct  3 04:47 /usr/bin/lockfile
-rwxr-xr-x    1 root     root         5859 Oct  3 04:47 /usr/bin/mailstat
-rwsr-sr-x    1 root     mail        71164 Oct  3 04:47 /usr/bin/procmail


 Spero che questo ti aiuti un po'.

 Ciao,
   Sergio

-- 
--------------------------------------------------------------------------
 Things will get better despite             Sergio Ballestrero
our efforts to improve them.                       S.Ballestrero@iname.com
	-- Will Rogers

Maggiori informazioni sulla lista primipassi