linux – 限制对admin用户的postqueue访问

发布时间：2020-12-14 02:28:14 所属栏目：Linux 来源：网络整理

导读：我在Gentoo上运行postfix作为邮件守护进程.在调查某些队列堆积时,我发现/usr/sbin / postqueue可由系统上的所有用户执行,它很乐意为所有用户输出当前邮件队列(带-q). 看起来这或多或少是设计的：postdrop和postqueue是set-gid二进制文件与group postdrop. -r

我在Gentoo上运行postfix作为邮件守护进程.在调查某些队列堆积时,我发现/usr/sbin / postqueue可由系统上的所有用户执行,它很乐意为所有用户输出当前邮件队列(带-q).

看起来这或多或少是设计的：postdrop和postqueue是set-gid二进制文件与group postdrop.

-rwx--s--x  1 root postdrop  15K Apr 10 23:49 postdrop
-rwx--s--x  1 root postdrop  15K Apr 10 23:49 postqueue

它们也可以由其他人执行,后缀似乎需要(输出后缀检查)：

postfix/postfix-script: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue

我可能错过了一些内部工作,但据我所知,普通用户不应该访问队列,特别是因为在此配置中,所有地址和域都设置为虚拟(通过数据库).如果用户定期轮询后队列,他可以组装< from>,< to>的列表.地址对(postcat受限制,用户无法访问邮件的内容).

exim有一个名为queue_list_requires_admin的配置选项,但我找不到类似这样的内容用于postfix.是否可以使用postfix限制队列访问？

解决方法

Postfix不使用unix权限功能来限制对postqueue的访问.相反,它使用’authorized_mailq_users’之类的参数

authorized_mailq_users (static:anyone)

List of users who are authorized to view the queue.

因此,如果您想限制特定用户,例如：root,您可以使用

authorized_mailq_users = static:root

有关详细信息,请参阅man 1 postqueue

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!