Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Exim…

Wozu braucht der Mailserver root-Rechte?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu braucht der Mailserver root-Rechte?

    Autor: klammeraffe 06.06.19 - 15:43

    Es gibt doch Gründe, auch andere Server nicht als root, sondern unter einem eigenen Benutzeraccount auszuführen...

    Grüße, @

  2. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 06.06.19 - 15:50

    1. Exim will (normalerweise) an Port 25 lauschen. Dafür braucht man unter Unix (klassisch) root-Rechte.
    2. Exim unterstützt das traditionelle Verzeichnis-Setup, wo Unix-Nutzer ihre Mailbox in "$HOME" haben. Um dort schreiben zu können, benötigt Exim ebenfalls root-Rechte.

    Dass man das heute anders lösen würde, steht außer Frage. Aber Exim ist halt ein ganz schön altes Projekt - und hat nicht so arg viele Entwickler...

  3. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsx-11 06.06.19 - 15:52

    Ein Mailserver braucht root-Rechte:
    - um den TCP Port 25 zu benutzten (privileged ports)
    - für chroot(), etc.
    - um die root-Rechte gezielt aufzugeben

    Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles andere ist ein Design Fehler.

  4. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 06.06.19 - 23:11

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Ein Mailserver braucht root-Rechte:
    > - um den TCP Port 25 zu benutzten (privileged ports)
    > - für chroot(), etc.
    > - um die root-Rechte gezielt aufzugeben
    >
    > Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles
    > andere ist ein Design Fehler.

    Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann (und das allen Anderen inkl. root untersagen) & die Anwendung gleich beim starten jailen, dann braucht's definitiv kein root - ist allerdings etwas mehr Konfigurationsaufwand.

  5. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 11:20

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann […]

    Dazu gibt es unter Linux mindestens setcap und authbind, also muss die Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

  6. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 08.06.19 - 13:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann
    > […]
    >
    > Dazu gibt es unter Linux mindestens setcap und authbind, also muss die
    > Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es
    > noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der
    > Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

    Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich weder alle Ports zum binden freigeben kann (über das cap_net_bind_service capability) bzw. keinen externen Daemon & die Spielerei mit der Library Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen, dass es sowas unter Linux nicht gibt)

  7. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 22:13

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann?

    Mir ist keins bekannt, würde mich auch interessieren. Ich verwende ausschließlich setcap oder richte eine entsprechende iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht einschränken, also kann sich da auch beliebige Software an beliebigen freien Port binden. Wenn du dann eh schon dabei bist und alles dicht machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins Gewicht.

  8. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 08.06.19 - 23:40

    tsp schrieb:
    > Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung
    > etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich
    > weder alle Ports zum binden freigeben kann (über das cap_net_bind_service
    > capability) bzw. keinen externen Daemon & die Spielerei mit der Library
    > Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für
    > einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen,
    > dass es sowas unter Linux nicht gibt)

    Die einfachste Möglichkeit dürfte sein, den daemon mit systemd socket activation zu verwenden. Dann erstellt systemd den server socket und der daemon muss dann nicht als root laufen, obwohl er z.B. Port 25 verwendet.

  9. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 09.06.19 - 21:23

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs
    > "freigeben" kann?
    >
    > Mir ist keins bekannt, würde mich auch interessieren. Ich verwende
    > ausschließlich setcap oder richte eine entsprechende
    > iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu
    > mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht
    > einschränken, also kann sich da auch beliebige Software an beliebigen
    > freien Port binden. Wenn du dann eh schon dabei bist und alles dicht
    > machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins
    > Gewicht.

    Kenn das jetzt nur von FBSD aber dort kann ich z.B. die Portrange für "privilegierte" Ports über net.inet.ip.portrange.reservedlow und net.inet.ip.portrange.reservedhigh regeln (beim Einsatz von portacl typischerweise 0) - und den Bereich in dem portacl arbeitet über security.mac.portacl.port_high - wobei ich persönlich das meistens mit Firewall (ipfw) kombiniere (wo prinzipiell mal sowieso alles blockiert wird). Das Hauptproblem das ich bei portacl sehe ist, dass man das Regelset in einem syctl unterbringen muss - und damit ein Längenlimit hat - das ist zumindest bei Lösungen wie authbind usw. natürlich kein Thema

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SCHOTT Schweiz AG, St. Gallen (Schweiz)
  2. Universitätsklinikum Münster, Münster
  3. medac Gesellschaft für klinische Spezialpräparate mbH, Wedel
  4. DATAGROUP Köln GmbH, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (aktuell u. a. X Rocker Shadow 2.0 Floor Rocker Gaming Stuhl in verschiedenen Farben je 64,90€)
  2. 337,00€
  3. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  4. 58,90€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Telekom Smart Speaker im Test: Der smarte Lautsprecher, der mit zwei Zungen spricht
Telekom Smart Speaker im Test
Der smarte Lautsprecher, der mit zwei Zungen spricht

Die Deutsche Telekom bietet derzeit den einzigen smarten Lautsprecher an, mit dem sich parallel zwei digitale Assistenten nutzen lassen. Der Magenta-Assistent lässt einiges zu wünschen übrig, aber die Parallelnutzung von Alexa funktioniert schon fast zu gut.
Ein Test von Ingo Pakalski

  1. Smarte Lautsprecher Amazon liegt nicht nur in Deutschland vor Google
  2. Pure Discovr Schrumpfender Alexa-Lautsprecher mit Akku wird teurer
  3. Bose Portable Home Speaker Lautsprecher mit Akku, Airplay 2, Alexa und Google Assistant

Minecraft Earth angespielt: Die Invasion der Klötzchen
Minecraft Earth angespielt
Die Invasion der Klötzchen

Kämpfe mit Skeletten im Stadtpark, Begegnungen mit Schweinchen im Einkaufszentrum: Golem.de hat Minecraft Earth ausprobiert. Trotz Sammelaspekten hat das AR-Spiel ein ganz anderes Konzept als Pokémon Go - aber spannend ist es ebenfalls.
Von Peter Steinlechner

  1. Microsoft Minecraft hat 112 Millionen Spieler im Monat
  2. Machine Learning Facebooks KI-Assistent hilft beim Bau von Minecraft-Werken
  3. Nvidia Minecraft bekommt Raytracing statt Super-Duper-Grafik

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

  1. Urheberrecht: Razzia bei Filesharing-Plattform
    Urheberrecht
    Razzia bei Filesharing-Plattform

    Die internationalen Ermittlungen richten sich gegen die mutmaßlichen Betreiber einer Filesharing-Plattform, über welche urheberrechtlich geschützte Inhalte verbreitet wurden. Bei der Plattform soll es sich um den Sharehoster share-online.biz handeln.

  2. Offene Prozessor-ISA: Wieso RISC-V sich durchsetzen wird
    Offene Prozessor-ISA
    Wieso RISC-V sich durchsetzen wird

    Die offene Befehlssatzarchitektur RISC-V erfreut sich dank ihrer Einfachheit und Effizienz bereits großer Beliebtheit im Bildungs- und Embedded-Segment, auch Nvidia sowie Western Digital nutzen sie. Mit der geplanten Vektor-Erweiterung werden sogar Supercomputer umsetzbar.

  3. Titan: Neuer Fido-Stick mit USB-C von Google
    Titan
    Neuer Fido-Stick mit USB-C von Google

    Google wechselt mit seinem neuen Titan-Sicherheitschlüssel zur Zwei-Faktor-Authentifizierung nicht nur den Anschluss auf USB-C, sondern auch den Hersteller. Die Firmware stammt jedoch weiterhin von Google selbst.


  1. 13:04

  2. 12:00

  3. 11:58

  4. 11:47

  5. 11:15

  6. 10:58

  7. 10:31

  8. 10:12