rss.png profile for ebal on Stack Exchange, a network of free, community-driven Q&A sites
Aug
31
2011
ebalaskas:
Aug
31
2011
ebalaskas: The most visible changes…

identica.pngThe most visible changes in !gimp 2.7.3 are the fully working single-window mode. http://developer.gimp.org/NEWS

from Updates from ebalaskas on Identi.ca!

Aug
30
2011
ebalaskas: !dante: SOCKS v4 and…

identica.png!dante: SOCKS v4 and v5 compatible proxy server and client http://www.inet.no/dante/

from Updates from ebalaskas on Identi.ca!

Aug
29
2011
ebalaskas: RT @jsmith Just a…

identica.pngRT @jsmith Just a reminder to vote for your favorites in the Linux Journal Reader's Choice survey at http://www.linuxjournal.com/rc2011

from Updates from ebalaskas on Identi.ca!

Aug
29
2011
ebalaskas: Cipher benchmark for dm-crypt…
Aug
25
2011
ebalaskas: Apache Killer
Aug
25
2011
ebalaskas: +1for reply-o-matic …
Aug
25
2011
ebalaskas: The Geek Zodiac v….
Aug
25
2011
ebalaskas: RT @ushcompu
Aug
24
2011
ebalaskas: Prosody IM is written…

identica.pngProsody IM is written in lua. http://prosody.im/

from Updates from ebalaskas on Identi.ca!

Aug
24
2011
ebalaskas: if you are looking…

identica.pngif you are looking for a !xmpp server, take a look at !Prosody IM You’ll need less than 5 minutes to install,configure & use it. Brilliant

from Updates from ebalaskas on Identi.ca!

Aug
23
2011
ebalaskas:
Aug
23
2011
ebalaskas: OpenConnect is a client…

identica.pngOpenConnect is a client for Cisco’s AnyConnect SSL VPN : OpenConnect is a client for Cisco’s AnyConnect SSL VPN

from Updates from ebalaskas on Identi.ca!

Aug
23
2011
ebalaskas: SSL Server Test https://www.ssllabs.com/ssldb/index.html
Aug
22
2011
ebalaskas: mobile patent suits: …

identica.pngmobile patent suits:

from Updates from ebalaskas on Identi.ca!

Aug
22
2011
ebalaskas: Unhide is a forensic…

identica.pngUnhide is a forensic tool http://www.unhide-forensics.info/ Seems very interesting

from Updates from ebalaskas on Identi.ca!

Aug
19
2011
ebalaskas: Dont forget with !PHP…

identica.pngDont forget with !PHP 5.3.7 to install suhosin-patch-5.3.7-0.9.10.patch.gz

from Updates from ebalaskas on Identi.ca!

Aug
19
2011
postfix & dovecot LDA

Χρησιμοποιώ dovecot για imap και postfix για λήψη/αποστολή αλληλογραφίας.

Τους χρήστες της υποδομής τους έχω δημιουργήσει σε ένα dovecot userdb αρχείο.
Σε αυτό περιέχονται τα usernames, συνθηματικά πρόσβασης και πληροφορίες που σχετίζονται με το mail τους.
Ένα από αυτά είναι και ο τύπος του λογαριασμού κι ένα άλλο η τοποθεσία στην οποία αποθηκεύονται τα emails.

Στο αρχείο /etc/aliases έχω περασμένα τα FirstName.LastName aliases που δείχνουν στα username.

Το postfix ΔΕΝ έχει ιδέα για τους χρήστες - παρά μόνο για τα aliases.
Το postfix by default στέλνει reject στους Unknown users. Αφού λοιπόν μόνο ο dovecot ξέρει τους χρήστες, το postfix στέλνει reject για όλους.

Μία λύση είναι η δημιουργία ενός dovecot command στο master.cf κι αλλάζοντας το mail transport.
Αυτό όμως ΔΕΝ μου φάνηκε και πολύ καλή ιδέα.

Σε περίπτωση επίθεσης, το postfix θα αναλάβει να προωθήσει όλα τα emails στο dovecot.
Οπότε δεν θα περιορίσει κάτι, απλά θα μεταβιβάσει το πρόβλημα στο dovecot.
Το catch all options ήταν κάποτε (ίσως) λύση, μα πλέον είναι κατά την γνώμη μου λάθος να μπαίνει.

Σκέφτηκα να κάνω χρήση του dovecot-LDA, μα το postfix προσπαθεί να παραδώσει local τα emails επειδή βρήκε τα usernames & τα Ευάγγελος.Μπαλάσκας λογαριασμούς στο /etc/aliases. Έτσι δεν κάνει χρήση του mail_command γιατί χρησιμοποιεί το local.

Έτσι σκέφτηκα ότι η απλούστερη λύση είναι μονάχα η τροποποίηση του /etc/aliases, προσθέτοντας τα usernames με το αντίστοιχο dovecot-lda command

π.χ. “/etc/aliases”

Evaggelos.Balaskas: ebal
ebal: | “/usr/local/libexec/dovecot/deliver -d ebal”

Ακόμα και τώρα που το σκέφτομαι, θεωρώ ότι είναι η καλύτερη και απλούστερη λύση που μπορώ να σκεφτώ.

Μα τα προβλήματά μου, μόλις τώρα ξεκινάνε!!!
Κι όλα αυτά γιατί ο Wietse Venema θεώρησε καλό κάθε service να τρέχει με διαφορετικό χρήστη και να μην έχουν πρόσβαση στα ίδια πράγματα. Στα ίδια πρότυπα λειτουργεί και ο Timo Sirainen (dovecot).

Τώρα δεν φταίει αυτός - το αυτονόητο έκανε. Πρόσθεσε ασφάλεια!

Ο mail owner του postfix είναι ο postfix μα τα δικαιώματα που κληρονομούνται στις διεργασίες είναι του nobody.
Έτσι χθες κατέληξα στο πρόβλημα, πως ο nobody θα μιλήσει με τον dovecot που εκτελείτε ως postfix (για χάρη ευκολίας) . Μα o dovecot deliver πρέπει να μιλήσει στο auth-userdb για να πάρει το mail_location, το οποίο έχει και setuid κι όλα αυτά τρέχουν ως root.

Μα ακόμα κι εάν τα έφτιαξα όλα αυτά … έφτασα στο συμπέρασμα ότι οι virtual users, ανήκουν σε διαφορετικό uid/gid και δεν μπορεί να τα παραδώσει εν τέλη! Οπότε πρέπει να διορθώσω κι αυτό …

Αλλά μετά από όλα αυτά - έπαιξε !!!

Για κάθε αλλαγή στο dovecot userdb, θα πρέπει να κάνω μια παρόμοια αλλαγή στο /etc/aliases. ΑΛΛΑ δεν χρειάζεται να αλλάξω κάτι στην αρχιτεκτονική ή στα configuration files των δαιμόνων.

Tag(s): postfix, dovecot
Aug
18
2011
ebalaskas: !patents:
Aug
18
2011
ebalaskas: ftp.otenet.gr: !ArchLinux mirror out…

identica.pngftp.otenet.gr: !ArchLinux mirror out of sync, seems that lockfile wasnt removed by previous rsync failed! Fixed & Syncing at the moment …

from Updates from ebalaskas on Identi.ca!