Artur Cichosz wrote:
Hallo an alle,
ich möchte jemanden von den Sicherheitsexperten in der Liste bitten, eine kurze Meinung zu folgender Sache zu geben.
Ich habe auf die schnelle einen Mailserver mit Postfix + Procmail + Cyrus + lokale Benutzer aufsetzen müssen. Diese Benutzer authentifizieren sich ja bei ihrer Mailbox mit dem Linux-Passwort und zu allem Überfluß klappt SSL/TLS auch irgendwie nicht (Beide Outlooks wollen nicht aber auch The Bat und Pegasus Mail) also läuft es im Moment ohne Verschlüsselung.
Das war also die Ausgangslage und jetzt sieht es folgendermassen aus:
1) Suse Linux 9.3 2) Apache2 Webserver mit PHP4 3) Postfix / Cyrus Mailserver mit lokalen Benutzern und ohne TLS 4) Lokale Benutzer haben Standard-Rechte (Grupen users, video, dialout) 5) SuSEFirewall2 aktiv mit offenen Ports für ssh, pop3, pop3s, imap, imaps, http, https 6) Nur passwortloser SSH-Zugrif über RSA-Keys und nur SSH2
Wer kann mir mit einem oder zwei Sätzen kommentieren, wie gross das Risiko für das System ist kompromitiert zu werden wenn die Linux-User Daten bei dem E-Mail-Verkehr im Plain-Text durchs Netz gehen obwohl kein passwortbasierter Zugang über ssh möglich ist.
Gibts es eine möglichkeit über eine Postfix-Option die Linux-User oder Linux-User und Linux-Passwörter auf andere zu mappen - vielleicht mit SASL? Kennt jemand ein How-To, dass sich genau mit Cyrus SASL mit lokalen Usern beschäftigt? In den letzten zwei schlaflosen Nächten hatte ich wohl zu viel Input und weiss nicht so recht wo ich da ansetzen soll.
Steht der Server in einem Rechenzentrum und greifen die Anwender über das Internet auf den Server zu oder ist es ein Server, der hinter der Firewall innerhalb des Firmennetzwerks steht und den nur die lokalen Anwender innerhalb des Firmennetzes benutzen sollen und können? Wenn über das Internet zugegriffen wird, dann sollte TLS für Mail und Imap/pop Pflicht sein. Ebenso sollten die Client-PCs auf dem aktuellen Sicherheitsstand sein und, wenn Windows mit aktiver Firewall und Antivirus laufen. Man kann die Benutzerverwaltung auch vom System abkoppeln und über eine SASL-Datenbank laufen lassen. Das ist ohne große Probleme möglich.
P.S. Aus Zeitgünden war auf die Schnelle nur diese Lösung möglich aber ich arbeite bald daran die E-Mail-User über MySQL zu authentifizieren. Leider gehts nicht sofort und die E-Mails müssen sein.
MySQL ist meistens nicht als Option in Postfix oder Cyrus hereinkompiliert, da muss man selbst die Pakete erstellen, was manchmal etwas trickreich sein kann. Solange man nicht täglich neue User/Restriktionen konfiguriert, geht das auch ohne SQL/LDAP.
Wenn sich jemand bereit erklärt mir bei dem SSL/TLS - Problem zu helfen so schiebe ich gerne noch zusätzliche infos wie z.b. die main.cf nach.
Brauchst du noch ein Web-Interface? Jedenfalls solltest du ein Zertifikat für alle Dienste verwenden, die auf dem Server laufen. Bei Apache oder Openssl gibt es Scripte, die ein solches Zertifikat erstellen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com