У меня есть сервер Debian Jessie, который обеспечивает (сеть-) почту с помощью постфикса, голубятни и roundcube.
Для вхождения в roundcube веб-почту я должен использовать свое имя и пароль пользователя системы. Это походит на главный дефект безопасности - хотя roundcube использует шифрование SSL, я мог бы однажды использовать поврежденный компьютер в интернет-кафе. Если кто-то еще получает данные для входа веб-почты, у нее также есть доступ к моему серверу включая sudo (корень) полномочия.
Я хотел бы использовать другой пароль для (сеть-) почта (и также для всех других сервисов, которые я мог бы использовать на различных компьютерах).
Поэтому у меня есть следующие вопросы:
Имеется недостаток безопасности, поскольку вы используете привилегированную учетную запись (учетную запись sudo) для выполнения задачи, которую обычно выполняет обычный пользователь (без привилегий).
Я бы добавил простой системный аккаунт и использовать его для аутентификации в roundcube, чтобы получать мои электронные письма.
Кроме того, я не верю, что вам нужна
системная учетная запись для этого. Там должен быть
другой способ управления учетными записями (например, учетными записями, хранящимися в базе данных (MySQL или LDAP)). Дело в том, что для базовой установки проще использовать системную аутентификацию, и это может соответствовать единственному использованию. Если у вас есть сотни пользователей электронной почты, вы, конечно, не будете использовать системные учетные записи. вы можете прочитать это .
. Можно использовать PAM для аутентификации, но разделите учетные записи пользователей для административного доступа и приложений. на уровне пользователя, например, почта. Вы должны либо отделить базу данных пользователей и аутентификацию dovecot и postfix от PAM, системного, либо вам нужно создать другую системную учетную запись, которую вы используете для администрирования через SSH, а не для почты.
Второй вариант очень прост, просто используйте adduser
для создания нового пользователя,разрешить вход по SSH и sudo только для этого пользователя. При желании требуется проверка подлинности с открытым ключом, чтобы вам больше не требовался пароль для удаленного входа в систему (а это запрещено). Изменение пароля для системы PAM выполняется с помощью passwd
.
Другая возможность - изменить серверную часть аутентификации saslauth dovecot, настроенную в /etc/dovecot/conf.d/10 -auth.conf
.