Zugriffsproblem auf /var/vmail/ durch Dovecot

[HolgerBri]

Hallo zusammen,

ich setze bei mir zuhause einen Server inkl. postfix und dovecot auf. Also Vorlage hatte ich dieses HowTo verwendet. Ich habe jedoch ein Problem mit dem Anlegen von Mailverzeichnissen beim Anmelden von neuen Usern

Dec  5 21:15:57 debiantmp dovecot: IMAP(Holger): mbox: Can't create root mail directory /var/vmail/Holger/mail: Permission denied
Dec  5 21:15:57 debiantmp dovecot: IMAP(Holger): mail_location not set and autodetection failed with home=/var/vmail/Holger
Dec  5 21:15:57 debiantmp dovecot: child 20043 (imap) returned error 89

vmail ist bereits der Owner von /var/vmail/

debiantmp:/tmp# ls -la /var/vmail/
insgesamt 8
drwxrwxr-x  2 vmail vmail 4096  5. Dez 19:58 .
drwxr-xr-x 16 root  root  4096  5. Dez 19:58 ..

Hat jemand von Euch eine Idee, woran es scheitert?

Viele Grüße
Holger

 

[mr_brain]

"Permission denied"

chmod a+w /var/vmail/

 

[HolgerBri]

Das wars!

Vielen DANK!!!!

Viele Grüße
Holger

 

[Roger Wilco]

chmod a+w /var/vmail/

Wobei das sicherlich nicht der Weisheit letzter Schluss ist. Normalerweise will man gerade nicht, dass Hinz und Kunz E-Mails schreiben, verändern oder löschen können. Das sollte bitte nur der MDA dürfen.

 

[mr_brain]

Maildir´s an sich sollten i.d.R. automatisch drwxr-x--- haben.

Zudem ist/sollte Hinz und Kunz (bei z.B. PHP, FTP, etc.) jailed (sein).

 

[Roger Wilco]

Zudem ist/sollte Hinz und Kunz (bei z.B. PHP, FTP, etc.) jailed (sein).

Es muss nur einer der öffentlich verfügbaren Dienste eine ausnutzbare Lücke haben und schon kann man mit dem Benutzer, in dessen Kontext der Dienst ausgeführt wird, auf das Mailverzeichnis zugreifen.

 

[mr_brain]

Es muss nur einer der öffentlich verfügbaren Dienste eine ausnutzbare Lücke haben und schon kann man mit dem Benutzer, in dessen Kontext der Dienst ausgeführt wird, auf das Mailverzeichnis zugreifen.

Eine Lücke ist ein generelles Problem (u.a. auch wenn Benutzer die gleichen Gruppen haben oder Prozesse starten/mitverfolgen können) und nicht spezifisch.

 

[Roger Wilco]

Es ist insofern im gegebenen Fall ein spezifisches Problem, als dass jeder Benutzer Schreibzugriff auf das Mail-Verzeichnis hat, selbst wenn er ansonsten keinerlei Rechte hat (wie es eben für dedizierte Benutzer für spezifische Dienste üblich ist).

 

[mr_brain]

Und das wäre welcher Benutzer? In zweitschlimmsten Fall wird dein SMTP, POP3 oder IMAP exploited. Dann hast du deinen dedizierten Benutzer für diesen spezifischen Dienst, der dann auch noch direkt Zugriff auf das Verzeichnis hat, egal welche Rechte das Verzeichnis hat. Und im schlimmsten Fall wird root exploited, dann haste aber ein größeres Problem als mit den Rechten an deinem Mailordner.

 

[Roger Wilco]

Und das wäre welcher Benutzer?

Bei den Rechten, die du vorgeschlagen hast (a+w) wäre das jeder Benutzer auf dem System.

Es geht nicht darum, dass plötzlich ein Angreifer root auf dem System hat, sondern darum, dass jeder beliebige Benutzer auf dem System, auf den ein Angreifer Zugriff hat, in dem Verzeichnis herumpfuschen kann.

 

[HolgerBri]

Hallo,

ich habe es jetzt herausgefunden. In der dovecot-sql.conf hatte ich die falsche UID gesetzt. Deshalb hatte er gar nicht den Benutzer vmail benutzt. Nun kann ich den Ordner "geschlossen" lassen

Ich habe zwar jetzt noch ein anderes Problem, aber da mache ich nachher mal ein eigenen Thema für auf.

Viele Grüße
Holger