[Debian]:Re: sgid-Bit bei Mailreadern?

To: debian-user-de@jfl.de
Subject: [Debian]:Re: sgid-Bit bei Mailreadern?
From: Roland Rosenfeld <roland@spinnaker.de>
Date: 16 Jan 2000 16:28:40 GMT
Message-id: <85srjo$sae$1@luv.rhein.de>
References: <E129r2c-00041c-00@mailgate.rz.uni-karlsruhe.de>

Marc Haber <debian-user-de.jfl.de@marc-haber.de> wrote:

> |-rwxr-sr-x   1 root     mail       403776 Oct 15  1998 /usr/bin/elm*
> |-rwxr-xr-x   1 root     root       412044 Jan  3 18:51 /usr/bin/mutt*
> |-rwxr-sr-x   1 root     mail      1191628 Jan  5 22:08 /usr/bin/pine*

> Kann mir zufällig jemand erklären, warum elm und pine sgid mail
> laufen, mutt aber nicht?

Mutt ruft ein Programm namens mutt_dotlock auf, welches SGID mail ist.
Das hat den Vorteil, daß sich mutt selber nicht um seine Permissions
kümmern muß. Auf diese Weise muß der Programmierer nur in dem kleinen
mutt_dotlock für Sicherheit sorgen, während sich Buffer-Overflows etc.
in mutt selber nicht gleich als Sicherheitsloch auswirken.

> Wozu ist sgid mail notwendig?

Ein Mailreader muß ein Mailboxfile locken können, damit der MTA und
der Mailreader nicht gleichzeitig schreiben und so versehentlich neue
Mail löschen. Hierzu braucht der Mailreader Schreibrecht für das
Verzeichnis /var/spool/mail [1], denn er legt dort
/var/spool/mail/<username>.lock an. Dieser Zugriff kann nun auf zwei
Wegen gewährt werden:

a) /var/spool/mail bekommt die Permissions eines tmp-Verzeichnisses,
   wo jeder schreiben darf, aber nur der Owner eines Files darf dieses
   löschen (chmod 1777). Das hat den Nachteil, daß ein User x den User
   y ärgern kann, indem er y.lock anlegt, dann kann User y nämlich
   keine Mail mehr lesen. Aus diesem Grunde verlangt die Debian-Policy
   die folgende Variante:

b) /var/spool/mail hat die Permissions 2775 und gehört mail.mail.
   Die Lockfiles werden nun mittels SGID mail geschrieben (das
   Verzeichnis ist ja für die Group mail schreibbar). Daher sind elm
   und pind SGID mail, ebenso wie mutt_dotlock SGID mail läuft.

Für die Details siehe die Policy Abschitt "5.6. Mail transport agents".

Tschoeeee

        Roland

Footnotes: 
[1]  in Zukunft wird das gemäß FHS /var/mail sein.

-- 
 * roland@spinnaker.de * http://www.spinnaker.de/ *
------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie
bitte eine E-Mail an majordomo@jfl.de die im Body
"unsubscribe debian-user-de <deine emailadresse>"
enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@jfl.de
------------------------------------------------
Anzahl der eingetragenen Mitglieder:     757

Reply to:

Follow-Ups:
- Re: [Debian]:sgid-Bit bei Mailreadern?
  - From: Thomas Bader <thomasb@trash.net>

References:
- [Debian]:sgid-Bit bei Mailreadern?
  - From: debian-user-de.jfl.de@marc-haber.de (Marc Haber)

Prev by Date: Re: [Debian]:sgid-Bit bei Mailreadern?
Next by Date: Re: [Debian]:[Linux: LPR-Server] per Diskette ???
Previous by thread: [Debian]:sgid-Bit bei Mailreadern?
Next by thread: Re: [Debian]:sgid-Bit bei Mailreadern?
Index(es):
- Date
- Thread