Limitare l'accesso postquote all'amministratore

Sto eseguendo postfix su Gentoo come demone di posta. Durante l'analisi di un pileup di coda, ho scoperto che /usr/sbin/postqueue è eseguibile da tutti gli utenti del sistema, che emette felicemente la coda di posta corrente (con -q ) per tutti gli utenti.

Sembra che questo sia più o less con la progettazione: postdrop e postqueue sono set-gid binari con postdrop gruppo.

 -rwx--s--x 1 root postdrop 15K Apr 10 23:49 postdrop -rwx--s--x 1 root postdrop 15K Apr 10 23:49 postqueue 

Sono anche eseguibili da other , qualcosa che sembra richiedere il postfix check (output del postfix check ):

 postfix/postfix-script: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue 

Probabilmente manca qualcosa del funzionamento interno, ma per quanto vedo gli utenti normali non dovrebbero avere accesso alla coda, specialmente perché in questa configuration tutti gli indirizzi e domini sono impostati virtualmente (tramite un database). Se un utente postqueue regolarmente il polling postqueue , poteva assemblare un elenco di postcat , postcat coppie di indirizzi (il postcat è limitato, gli utenti non possono accedere ai contenuti della posta).

exim ha un'opzione di configuration chiamata queue_list_requires_admin , ma non riesco a trovare qualcosa di simile per il postfix. È ansible limitare l'accesso alla coda con il postfix?

  • VPS impostato per MySQL
  • Memorizzazione di credenziali AWS in modo sicuro su una macchina personale
  • Ci sono registri di attività RDP? - Windows Server 2008 R2
  • UAC uccide la necessità di eseguire come utente normale?
  • IIS 7.5 e superiori - abilita la coda di schermatura DHE_RSA_AES_128_GCM seguente patch KB2992611 - È sicuro?
  • Come risolvere la traccia di chiamata prodotta da security_ops_task_setrlimit () con bind
  • Come gestire gli aggiornamenti della protezione all'interno dei contenitori Docker?
  • Qual è la relazione (se presente) tra UAC e ACL sulle piattaforms Windows?
  • One Solution collect form web for “Limitare l'accesso postquote all'amministratore”

    Postfix non utilizza la funzionalità di authorization unix per limitare l'accesso a postqueue . Utilizza invece parametri come 'authorized_mailq_users'

    authorized_mailq_users (statico: chiunque)

    Elenco degli utenti autorizzati a visualizzare la coda.

    Quindi, se si desidera limitare a un utente particolare, ad esempio: root, è ansible utilizzare

     authorized_mailq_users = static:root 

    Per ulteriori informazioni, vedere l' man 1 postqueue

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.