linux – 限制对admin用户的postqueue访问

前端之家收集整理的这篇文章主要介绍了linux – 限制对admin用户的postqueue访问前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我在Gentoo上运行postfix作为邮件守护进程.在调查某些队列堆积时,我发现/usr/sbin / postqueue可由系统上的所有用户执行,它很乐意为所有用户输出当前邮件队列(带-q).

看起来这或多或少是设计的:postdrop和postqueue是set-gid二进制文件与group postdrop.

-rwx--s--x  1 root postdrop  15K Apr 10 23:49 postdrop
-rwx--s--x  1 root postdrop  15K Apr 10 23:49 postqueue

它们也可以由其他人执行,后缀似乎需要(输出后缀检查):

postfix/postfix-script: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue

我可能错过了一些内部工作,但据我所知,普通用户不应该访问队列,特别是因为在此配置中,所有地址和域都设置为虚拟(通过数据库).如果用户定期轮询后队列,他可以组装< from>,< to>的列表.地址对(postcat受限制,用户无法访问邮件内容).

exim有一个名为queue_list_requires_admin的配置选项,但我找不到类似这样的内容用于postfix.是否可以使用postfix限制队列访问?

解决方法

Postfix不使用unix权限功能来限制对postqueue的访问.相反,它使用’authorized_mailq_users’之类的参数

authorized_mailq_users (static:anyone)

List of users who are authorized to view the queue.

因此,如果您想限制特定用户,例如:root,您可以使用

authorized_mailq_users = static:root

有关详细信息,请参阅man 1 postqueue

猜你在找的Linux相关文章