Изменить почтовый пароль, оставить системный пароль пользователя

Question

Изменить почтовый пароль, оставить системный пароль пользователя

У меня есть сервер Debian Jessie, который обеспечивает (веб-) почту с использованием postfix, dovecot и roundcube.

Чтобы войти в веб-почту roundcube, я должен использовать имя пользователя и пароль моей системы. Это кажется серьезным недостатком безопасности - хотя roundcube использует ssl-шифрование, я мог бы однажды использовать поврежденный компьютер в интернет-кафе. Если кто-то еще получает информацию для входа в веб-почту, он также имеет доступ к моему серверу, включая привилегии sudo (root).

Я хотел бы использовать другой пароль для (веб-) почты (а также для всех других служб, которые я мог бы использовать на разных компьютерах).

Поэтому у меня есть следующие вопросы:

В какой части почтового сервера я должен внести изменения, чтобы изменить почтовый пароль?
Что именно я должен изменить?

-1

debian security postfix dovecot roundcube

Источник

speendo 10 май '15 в 12:34

2 ответа

Другие вопросы по тегам debian security postfix dovecot roundcube

sebix 10 май '15 в 12:54 2015-05-10 12:54 · Answer 1 · 2015-05-10 12:54

Можно использовать PAM для аутентификации, но разделять учетные записи пользователей для административного доступа и приложения на уровне пользователя, например, на почту. Вы должны либо отделить пользовательскую базу данных и аутентификацию dovecot и postfix от PAM, системной, либо создать другую системную учетную запись, которую вы используете для администрирования через SSH, а не для почты.

Второй вариант очень прост, просто используйте adduser чтобы создать нового пользователя, разрешите SSH логин и sudo только для этого пользователя. При необходимости требуется проверка подлинности с использованием открытого ключа, поэтому вам больше не понадобится пароль для входа в систему удаленно (и это не разрешено). Смена системного пароля для PAM выполняется с помощью passwd,

Другая возможность состоит в том, чтобы изменить аутентификационный бэкэнд saslauth dovecot, настроенный в /etc/dovecot/conf.d/10-auth.conf,

philippe 10 май '15 в 12:57 2015-05-10 12:57 · Answer 2 · 2015-05-10 12:57

Существует недостаток безопасности, поскольку вы используете привилегированную учетную запись (учетную запись sudo) для выполнения задачи, которую обычно выполняет обычный пользователь (без привилегий).

Я хотел бы добавить простую системную учетную запись и использовать ее для проверки подлинности с использованием roundcube для получения моих электронных писем.

Кроме того, я тебе не верю needсистемная учетная запись для этого. Там must быть другим способом управления учетными записями (например, учетными записями, хранящимися в базе данных (MySQL или LDAP)). Дело в том, что для базовой установки проще использовать аутентификацию системы, и это может подходить для одного использования. Если у вас сотни пользователей электронной почты, вы, безусловно, не будете использовать системные учетные записи. Вы можете прочитать это.