Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Exim…

Wozu braucht der Mailserver root-Rechte?

  1. Thema

Neues Thema Ansicht wechseln


  1. Wozu braucht der Mailserver root-Rechte?

    Autor: klammeraffe 06.06.19 - 15:43

    Es gibt doch Gründe, auch andere Server nicht als root, sondern unter einem eigenen Benutzeraccount auszuführen...

    Grüße, @

  2. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 06.06.19 - 15:50

    1. Exim will (normalerweise) an Port 25 lauschen. Dafür braucht man unter Unix (klassisch) root-Rechte.
    2. Exim unterstützt das traditionelle Verzeichnis-Setup, wo Unix-Nutzer ihre Mailbox in "$HOME" haben. Um dort schreiben zu können, benötigt Exim ebenfalls root-Rechte.

    Dass man das heute anders lösen würde, steht außer Frage. Aber Exim ist halt ein ganz schön altes Projekt - und hat nicht so arg viele Entwickler...

  3. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsx-11 06.06.19 - 15:52

    Ein Mailserver braucht root-Rechte:
    - um den TCP Port 25 zu benutzten (privileged ports)
    - für chroot(), etc.
    - um die root-Rechte gezielt aufzugeben

    Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles andere ist ein Design Fehler.

  4. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 06.06.19 - 23:11

    tsx-11 schrieb:
    --------------------------------------------------------------------------------
    > Ein Mailserver braucht root-Rechte:
    > - um den TCP Port 25 zu benutzten (privileged ports)
    > - für chroot(), etc.
    > - um die root-Rechte gezielt aufzugeben
    >
    > Die eigentliche Arbeit sollte ein Mailserver niemals als root machen. Alles
    > andere ist ein Design Fehler.

    Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann (und das allen Anderen inkl. root untersagen) & die Anwendung gleich beim starten jailen, dann braucht's definitiv kein root - ist allerdings etwas mehr Konfigurationsaufwand.

  5. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 11:20

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann […]

    Dazu gibt es unter Linux mindestens setcap und authbind, also muss die Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

  6. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 08.06.19 - 13:53

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich finde "braucht" hier etwas hart (auch wenn's klassisch genau so
    > > realisiert wird) - man kann das unter FreeBSD z.b. sehr schön mit
    > > mac_portacl so lösen, dass der Mailserver-User direkt auf 25 binden kann
    > […]
    >
    > Dazu gibt es unter Linux mindestens setcap und authbind, also muss die
    > Software nicht (mehr) als root gestartet werden. Bei Exim könnte man es
    > noch auf das Alter schieben, aber sogar neue Software wie nginx wird in der
    > Regel mit root-Rechten gestartet. Ganz nachvollziehen kann ich das nicht.

    Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich weder alle Ports zum binden freigeben kann (über das cap_net_bind_service capability) bzw. keinen externen Daemon & die Spielerei mit der Library Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen, dass es sowas unter Linux nicht gibt)

  7. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: Schnarchnase 08.06.19 - 22:13

    tsp schrieb:
    --------------------------------------------------------------------------------
    > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs "freigeben" kann?

    Mir ist keins bekannt, würde mich auch interessieren. Ich verwende ausschließlich setcap oder richte eine entsprechende iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht einschränken, also kann sich da auch beliebige Software an beliebigen freien Port binden. Wenn du dann eh schon dabei bist und alles dicht machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins Gewicht.

  8. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: felix.schwarz 08.06.19 - 23:40

    tsp schrieb:
    > Ich muss allerdings sagen, dass ich hier bisher die FBSD portacl Lösung
    > etwas "schöner" finde - gibt's unter Linux auch eine Möglichkeit wo ich
    > weder alle Ports zum binden freigeben kann (über das cap_net_bind_service
    > capability) bzw. keinen externen Daemon & die Spielerei mit der Library
    > Injection von authbind brauche? Also wo ich ganz gezielt einzelne Ports für
    > einzelne UIDs/GIDs "freigeben" kann? (Kann mir eigentlich nicht vorstellen,
    > dass es sowas unter Linux nicht gibt)

    Die einfachste Möglichkeit dürfte sein, den daemon mit systemd socket activation zu verwenden. Dann erstellt systemd den server socket und der daemon muss dann nicht als root laufen, obwohl er z.B. Port 25 verwendet.

  9. Re: Wozu braucht der Mailserver root-Rechte?

    Autor: tsp 09.06.19 - 21:23

    Schnarchnase schrieb:
    --------------------------------------------------------------------------------
    > tsp schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also wo ich ganz gezielt einzelne Ports für einzelne UIDs/GIDs
    > "freigeben" kann?
    >
    > Mir ist keins bekannt, würde mich auch interessieren. Ich verwende
    > ausschließlich setcap oder richte eine entsprechende
    > iptables/nftables-Regel ein um den Port dann auf einen oberhalb von 1024 zu
    > mappen. Ohne Firewall kannst du die Ports über 1024 ja leider auch nicht
    > einschränken, also kann sich da auch beliebige Software an beliebigen
    > freien Port binden. Wenn du dann eh schon dabei bist und alles dicht
    > machst, dann fällt die Einsränkung von setcap auch nicht mehr so doll ins
    > Gewicht.

    Kenn das jetzt nur von FBSD aber dort kann ich z.B. die Portrange für "privilegierte" Ports über net.inet.ip.portrange.reservedlow und net.inet.ip.portrange.reservedhigh regeln (beim Einsatz von portacl typischerweise 0) - und den Bereich in dem portacl arbeitet über security.mac.portacl.port_high - wobei ich persönlich das meistens mit Firewall (ipfw) kombiniere (wo prinzipiell mal sowieso alles blockiert wird). Das Hauptproblem das ich bei portacl sehe ist, dass man das Regelset in einem syctl unterbringen muss - und damit ein Längenlimit hat - das ist zumindest bei Lösungen wie authbind usw. natürlich kein Thema

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Putzmeister Holding GmbH über KKC Berater Personalberatung, Aichtal
  2. JOB AG Industrial Service GmbH, Berlin (Home-Office)
  3. BWI GmbH, Nürnberg, Pfungstadt, Rheinbach
  4. Computacenter AG & Co. oHG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. GTA 5 12,49€, GTA Online Cash Card 1,79€)
  2. (aktuell u. a. Dell-Notebook 519€, Dell USB-DVD-Brenner 34,99€)
  3. 88,00€
  4. 107,00€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energie: Wo die Wasserstoffqualität getestet wird
Energie
Wo die Wasserstoffqualität getestet wird

Damit eine Brennstoffzelle einwandfrei arbeitet, braucht sie sauberen Wasserstoff. Wie aber lassen sich Verunreinigungen bis auf ein milliardstel Teil erfassen? Am Testfeld Wasserstoff in Duisburg wird das erprobt - und andere Technik für die Wasserstoffwirtschaft.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen
  3. Klimaschutz Großbritannien probt für den Kohleausstieg

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Navi 14 Radeon RX 5600 (XT) könnte 1.536 Shader haben
  2. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  3. AMD Freier Navi-Treiber in Mesa eingepflegt

Forschung: Mehr Elektronen sollen Photovoltaik effizienter machen
Forschung
Mehr Elektronen sollen Photovoltaik effizienter machen

Zwei dünne Schichten auf einer Silizium-Solarzelle könnten ihre Effizienz erhöhen. Grünes und blaues Licht kann darin gleich zwei Elektronen statt nur eines freisetzen.
Von Frank Wunderlich-Pfeiffer

  1. ISS Tierbeobachtungssystem Icarus startet
  2. Sun To Liquid Solaranlage erzeugt Kerosin aus Sonnenlicht, Wasser und CO2
  3. Shell Ocean Discovery X Prize X-Prize für unbemannte Systeme zur Meereskartierung vergeben

  1. Nach Unfall: Wiener Verkehrsbetrieb stoppt autonome Busse
    Nach Unfall
    Wiener Verkehrsbetrieb stoppt autonome Busse

    Nachdem eine Fußgängerin in einen der autonom fahrenden Busse gelaufen ist, hat der Wiener Verkehrsbetrieb das Pilotprojekt erst einmal gestoppt: Die Passantin, die leicht verletzt wurde, ist offensichtlich aus Unachtsamkeit mit dem Fahrzeug kollidiert.

  2. Berliner U-Bahn: Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom
    Berliner U-Bahn
    Bis Ende 2019 gibt es LTE auch für Vodafone und Telekom

    Bisher bietet nur Telefónica LTE- und UMTS-Zugang im Berliner U-Bahn-Netz. Ende 2019 werden auch erste Linien von der Deutschen Telekom und Vodafone versorgt.

  3. Satellitennavigation: Galileo ist wieder online
    Satellitennavigation
    Galileo ist wieder online

    Nach rund einer Woche funktioniert das europäische Satellitennavigationssystem Galileo wieder. Laut der zuständigen EU-Behörde GSA kann es aber noch zu Schwankungen kommen. Grund für den Ausfall waren technische Probleme in den beiden Kontrollzentren.


  1. 17:40

  2. 17:09

  3. 16:30

  4. 16:10

  5. 15:45

  6. 15:22

  7. 14:50

  8. 14:25