Limitare l'accesso postquote all'amministratore

Sto eseguendo postfix su Gentoo come demone di posta. Durante l'analisi di un pileup di coda, ho scoperto che /usr/sbin/postqueue è eseguibile da tutti gli utenti del sistema, che emette felicemente la coda di posta corrente (con -q ) per tutti gli utenti.

Sembra che questo sia più o less con la progettazione: postdrop e postqueue sono set-gid binari con postdrop gruppo.

 -rwx--s--x 1 root postdrop 15K Apr 10 23:49 postdrop -rwx--s--x 1 root postdrop 15K Apr 10 23:49 postqueue 

Sono anche eseguibili da other , qualcosa che sembra richiedere il postfix check (output del postfix check ):

 postfix/postfix-script: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue 

Probabilmente manca qualcosa del funzionamento interno, ma per quanto vedo gli utenti normali non dovrebbero avere accesso alla coda, specialmente perché in questa configuration tutti gli indirizzi e domini sono impostati virtualmente (tramite un database). Se un utente postqueue regolarmente il polling postqueue , poteva assemblare un elenco di postcat , postcat coppie di indirizzi (il postcat è limitato, gli utenti non possono accedere ai contenuti della posta).

exim ha un'opzione di configuration chiamata queue_list_requires_admin , ma non riesco a trovare qualcosa di simile per il postfix. È ansible limitare l'accesso alla coda con il postfix?

One Solution collect form web for “Limitare l'accesso postquote all'amministratore”

Postfix non utilizza la funzionalità di authorization unix per limitare l'accesso a postqueue . Utilizza invece parametri come 'authorized_mailq_users'

authorized_mailq_users (statico: chiunque)

Elenco degli utenti autorizzati a visualizzare la coda.

Quindi, se si desidera limitare a un utente particolare, ad esempio: root, è ansible utilizzare

 authorized_mailq_users = static:root 

Per ulteriori informazioni, vedere l' man 1 postqueue

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.