Ich habe Amavis in Verbindung mit AVP installiert. Klappt gut. Jetzt gehen aber die procmail Regeln nicht mehr. Ich bekomme in der /var/log/messages die Meldung: "Insufficient privileges to deliver to testaccount". Laut dem BUGS file vom Amavis hat das damit zu tun, dass procmail mit den Privilegien des Users und nicht mit root-Privilegien gestartet wird. Ich habe das "o" lt. BUGS hinzugefuegt und etwaige "S" entfernt. Hat nichts gebracht. Ich verwende SuSe 6.4. Was kann ich noch versuchen?? -Rainer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Gude, At 13:14 17.05.2000 +0200, Rainer Hofmeister wrote:
Ich habe Amavis in Verbindung mit AVP installiert. Klappt gut. Jetzt gehen aber die procmail Regeln nicht mehr. Ich bekomme in der /var/log/messages die Meldung: "Insufficient privileges to deliver to testaccount". Laut dem BUGS file vom Amavis hat das damit zu tun, dass procmail mit den Privilegien des Users und nicht mit root-Privilegien gestartet wird. Ich habe das "o" lt. BUGS hinzugefuegt und etwaige "S" entfernt. Hat nichts gebracht.
ich hab mir damit geholfen das ich procmail das s bit spendiert hab. Also chmod +s /usr/bin/procmail und es funzt. Was sagen die Sicherheitslueckenfetischisten dazu? ciao --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
At 13:16 Uhr +0200 17.05.2000, Matthias Strack wrote:
Gude,
At 13:14 17.05.2000 +0200, Rainer Hofmeister wrote:
Ich habe Amavis in Verbindung mit AVP installiert. Klappt gut. Jetzt gehen aber die procmail Regeln nicht mehr. Ich bekomme in der /var/log/messages die Meldung: "Insufficient privileges to deliver to testaccount". Laut dem BUGS file vom Amavis hat das damit zu tun, dass procmail mit den Privilegien des Users und nicht mit root-Privilegien gestartet wird. Ich habe das "o" lt. BUGS hinzugefuegt und etwaige "S" entfernt. Hat nichts gebracht.
ich hab mir damit geholfen das ich procmail das s bit spendiert hab. Also chmod +s /usr/bin/procmail und es funzt.
Was sagen die Sicherheitslueckenfetischisten dazu?
So funktionierts, danke! Mich wuerde aber auch interessieren ob ich mir damit irgendwelche grosse Sichereitsluecken aufmache? -Rainer --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Matthias Strack wrote on Wed, May 17, 2000 at 13:16 +0200:
ich hab mir damit geholfen das ich procmail das s bit spendiert hab. Also chmod +s /usr/bin/procmail und es funzt.
Was sagen die Sicherheitslueckenfetischisten dazu?
Tja :) Wenn man sendmail verwendet, wurde procmail doch sowieso als root gestartet, oder? Procmail sollte eigentlich richtig mit suid root umgehen, aber bugs kann es immer geben. Jedenfalls ist das nicht die non-plus-ultra Lösung IMHO; da muß dann qMail her, und Amavis entsprechend aufgebohrt werden. Kommt bestimmt eines Tages :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer schrieb in 0,8K (26 Zeilen):
Wenn man sendmail verwendet, wurde procmail doch sowieso als root gestartet, oder?
Nein. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, * Am 29.05.2000 um 12:17 Uhr schrieb Wolfgang Weisselberg:
Steffen Dettmer schrieb in 0,8K (26 Zeilen):
Wenn man sendmail verwendet, wurde procmail doch sowieso als root gestartet, oder?
Nein.
falls dem so wäre, könnte man sich ja sehr elegant Rootrechte 'zuschustern'. Beweis: ---[ ~/.procmailrc - schnipp ]--- :0 c: | id >/tmp/id.log ---[ schnapp ]--- js@sam:~ >date | mail js js@sam:~ >cat /tmp/id.log uid=500(js) gid=100(users) groups=100(users),5(tty), ... MfG. Jürgen -- In einer Hierarchie versucht jeder Untergebene seine Stufe der Unfähigkeit zu erreichen. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de / --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Juergen Schwarting wrote on Mon, May 29, 2000 at 18:01 +0200:
* Am 29.05.2000 um 12:17 Uhr schrieb Wolfgang Weisselberg:
Steffen Dettmer schrieb in 0,8K (26 Zeilen):
Wenn man sendmail verwendet, wurde procmail doch sowieso als root gestartet, oder?
Nein.
Sicher? /etc/sendmail.cf: [...] ##### @(#)local.m4 8.30 (Berkeley) 6/30/1998 ##### Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, S=10/30, R=20/40, T=DNS/RFC822/X-Unix, A=procmail -Y -a $h -d $u [...]
falls dem so wäre, könnte man sich ja sehr elegant Rootrechte 'zuschustern'.
Beweis:
---[ ~/.procmailrc - schnipp ]--- :0 c: | id >/tmp/id.log ---[ schnapp ]---
So blöd ist procmail doch sowieso nicht: Procmail droppt dann natürlich normalerweise die Rechte: z.B.: Procmail either needs root privi leges, or must have the right (e)uid and (e)gid to run in deliv ery mode. und ~/.procmailrc ist auch nicht der "Beweis", das müßte in /etc/procmailrc stehen: The /etc/procmailrc file might be executed with root priv ileges, so be very careful of what you put in it. procmail -d (aus sendmail.rc) macht dann nämlich (danach?): -d recipient ... This turns on explicit delivery mode, delivery will be to the local user recipient. This, of course, only is possible if procmail has root privileges (or if procmail is already running with the recipient's euid and egid). Procmail will setuid to the intended recipients and delivers the mail as if it were invoked by the recipient with no arguments (i.e. if no rcfile is found, delivery is like ordinary mail). This option is incompatible with -p. also "nur" setuid. Es ging ja um: "chmod +s /usr/bin/procmail" und Sicherheitsrisiken. Die Frage bleibt IMHO immernoch :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Steffen Dettmer schrieb in 2,3K (77 Zeilen):
* Juergen Schwarting wrote on Mon, May 29, 2000 at 18:01 +0200:
* Am 29.05.2000 um 12:17 Uhr schrieb Wolfgang Weisselberg:
Steffen Dettmer schrieb in 0,8K (26 Zeilen):
Wenn man sendmail verwendet, wurde procmail doch sowieso als root gestartet, oder?
Nein.
Sicher? /etc/sendmail.cf:
[...] ##### @(#)local.m4 8.30 (Berkeley) 6/30/1998 #####
Mlocal, P=/usr/bin/procmail, F=lsDFMAw5:/|@qSPfhn9, ^ Assume Specified UID and GID --> $30.8.40 (... sendmail always invokes that delivery agent as the user and group specified by the U= equate)
S=10/30, R=20/40, T=DNS/RFC822/X-Unix, A=procmail -Y -a $h -d $u
-Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
Juergen_Schwarting@gmx.de -
rhofm-suse@webkom.co.at -
steffen@dett.de -
suse@egelsbach.nu -
weissel@netcologne.de