Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Exim…

Wozu braucht der Mailserver root-Rechte?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu braucht der Mailserver root-Rechte?

    Autor: klammeraffe 06.06.19 - 15:43

    Es gibt doch Gründe, auch andere Server nicht als root, sondern unter einem eigenen Benutzeraccount auszuführen...

    Grüße, @

  2. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 06.06.19 - 15:50

    1. Exim will (normalerweise) an Port 25 lauschen. Dafür braucht man unter Unix (klassisch) root-Rechte.
    2. Exim unterstützt das traditionelle Verzeichnis-Setup, wo Unix-Nutzer ihre Mailbox in "$HOME" haben. Um dort schreiben zu können, benötigt Exim ebenfalls root-Rechte.

    Dass man das heute anders lösen würde, steht außer Frage. Aber Exim ist halt ein ganz schön altes Projekt - und hat nicht so arg viele Entwickler...

  3. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsx-11 06.06.19 - 15:52

    Ein Mailserver braucht root-Rechte:
    - um den TCP Port 25 zu benutzten (privileged ports)
    - für chroot(), etc.
    - um die root-Rechte gezielt aufzugeben

    Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles andere ist ein Design Fehler.

  4. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 06.06.19 - 23:11

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Ein Mailserver braucht root-Rechte:
    > - um den TCP Port 25 zu benutzten (privileged ports)
    > - für chroot(), etc.
    > - um die root-Rechte gezielt aufzugeben
    >
    > Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles
    > andere ist ein Design Fehler.

    Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann (und das allen Anderen inkl. root untersagen) & die Anwendung gleich beim starten jailen, dann braucht's definitiv kein root - ist allerdings etwas mehr Konfigurationsaufwand.

  5. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 11:20

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann […]

    Dazu gibt es unter Linux mindestens setcap und authbind, also muss die Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

  6. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 08.06.19 - 13:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann
    > […]
    >
    > Dazu gibt es unter Linux mindestens setcap und authbind, also muss die
    > Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es
    > noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der
    > Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

    Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich weder alle Ports zum binden freigeben kann (über das cap_net_bind_service capability) bzw. keinen externen Daemon & die Spielerei mit der Library Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen, dass es sowas unter Linux nicht gibt)

  7. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 22:13

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann?

    Mir ist keins bekannt, würde mich auch interessieren. Ich verwende ausschließlich setcap oder richte eine entsprechende iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht einschränken, also kann sich da auch beliebige Software an beliebigen freien Port binden. Wenn du dann eh schon dabei bist und alles dicht machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins Gewicht.

  8. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 08.06.19 - 23:40

    tsp schrieb:
    > Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung
    > etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich
    > weder alle Ports zum binden freigeben kann (über das cap_net_bind_service
    > capability) bzw. keinen externen Daemon & die Spielerei mit der Library
    > Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für
    > einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen,
    > dass es sowas unter Linux nicht gibt)

    Die einfachste Möglichkeit dürfte sein, den daemon mit systemd socket activation zu verwenden. Dann erstellt systemd den server socket und der daemon muss dann nicht als root laufen, obwohl er z.B. Port 25 verwendet.

  9. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 09.06.19 - 21:23

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs
    > "freigeben" kann?
    >
    > Mir ist keins bekannt, würde mich auch interessieren. Ich verwende
    > ausschließlich setcap oder richte eine entsprechende
    > iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu
    > mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht
    > einschränken, also kann sich da auch beliebige Software an beliebigen
    > freien Port binden. Wenn du dann eh schon dabei bist und alles dicht
    > machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins
    > Gewicht.

    Kenn das jetzt nur von FBSD aber dort kann ich z.B. die Portrange für "privilegierte" Ports über net.inet.ip.portrange.reservedlow und net.inet.ip.portrange.reservedhigh regeln (beim Einsatz von portacl typischerweise 0) - und den Bereich in dem portacl arbeitet über security.mac.portacl.port_high - wobei ich persönlich das meistens mit Firewall (ipfw) kombiniere (wo prinzipiell mal sowieso alles blockiert wird). Das Hauptproblem das ich bei portacl sehe ist, dass man das Regelset in einem syctl unterbringen muss - und damit ein Längenlimit hat - das ist zumindest bei Lösungen wie authbind usw. natürlich kein Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. interhyp Gruppe, München
  2. THE BRETTINGHAMS GmbH, Berlin
  3. Karl Simon GmbH & Co. KG, Aichhalden
  4. Kisters AG, Karlsruhe

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 83,90€
  2. (u. a. Ryzen 5-2600X für 184,90€ oder Sapphire Radeon RX 570 Pulse für 149,00€)
  3. 309,00€
  4. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Hyper Casual Games: 30 Sekunden spielen, 30 Sekunden Werbung
Hyper Casual Games
30 Sekunden spielen, 30 Sekunden Werbung

Ob im Bus oder im Wartezimmer: Mobile Games sind aus dem Alltag nicht mehr wegzudenken. Die Hyper Casual Games sind ihr neuestes Untergenre. Dahinter steckt eine effiziente Designphilosophie - und viel Werbung.
Von Daniel Ziegener

  1. Mobile-Games-Auslese Die Evolution als Smartphone-Strategiespiel
  2. Mobile-Games-Auslese Mit der Enterprise durch unendliche Onlineweiten
  3. Mobile-Games-Auslese Große Abenteuer im kleinen Feiertagsformat

2FA mit TOTP-Standard: GMX sichert Mail und Cloud mit zweitem Faktor
2FA mit TOTP-Standard
GMX sichert Mail und Cloud mit zweitem Faktor

Auch GMX-Kunden können nun ihre E-Mails und Daten in der Cloud mit einem zweiten Faktor schützen. Bei Web.de soll eine Zwei-Faktor-Authentifizierung bald folgen. Der eingesetzte TOTP-Standard hat aber auch Nachteile.
Von Moritz Tremmel


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
        Videostreaming
        Netflix und Amazon Prime Video locken mehr Kunden

        Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

      2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
        Huawei
        Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

        Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

      3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
        TV-Serie
        Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

        Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


      1. 12:24

      2. 12:09

      3. 11:54

      4. 11:33

      5. 14:32

      6. 12:00

      7. 11:30

      8. 11:00