Re: fetchmail als root
On Thu, Apr 18, 2002 at 06:55:50PM +0200, Holger Reinmann wrote:
>
> ich baue mir gerade einen Mailserver der mittels fetchmail die Mails der
> einzelnen User im Netzwerk abruft. Ich habe eine .fetchmailrc im Home-
> Verzeichnis von root erstellt, in der die einzelnen Mailboxen der User
> stehen.
> Fetchmail wird mittels cron alle 15 Minuten als User root ausgefuehrt.
> Es laeuft auch alles Prima nur weiss ich nicht ob das ein sicherheits
> Risiko darstellt.
In /usr/share/doc/fetchmail-common/README.Debian.gz bei Woodys
fetchmail heißt es:
Fetchmail and security:
Don't run fetchmail as root if you can help it. Fetchmail does a lot
of manipulation on untrustable data (e.g.: email headers) and has
had buffer overflow security holes fixed in that area. Nobody knows
how many of those are still left.
The safest way to run fetchmail is to run it as an unpriviledged
user (e.g. using the system-wide fetchmail facility described
below, and the "fetchmail" user), delivering through SMTP. This is
Debian's default configuration.
Näheres kannst Du ja dort nachlesen. Bei läuft es auch
entsprechend. Benutzt wird dann kein /root/.fetchmailrc, sondern ein
/etc/fetchmailrc:
$ l /etc/fetchmailrc
-rw------- 1 fetchmai root 194 Mar 23 16:10 /etc/fetchmailrc
--
marko schulz
Diese Mail ist auf Grund von ideologischer Verblendung nach den Regeln
der herkömmlichen Rechtschreibung erstellt. Wer verbleibende Fehler
findet, darf sie behalten oder sammeln, bis sie ein Lösungswort ergeben.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: