---

Har lige skiftet internet udbyder, og min postfix kunne ikke slippe af
med mine mails. Problemet var at DNS infos i /etc/resolve.conf ikke
benyttes af postfix - den benytter i stedet
/var/spool/postfix/etc/resolv.conf

Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
hosts og services) ?

Jørn

---

On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:

> Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
> hosts og services) ?

At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
Postfix (er kun effektivt for software, der ikke kører som root).

Ulempen er som du skriver, at det kan give redundans og at det kan give et
mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
databasesystem via unix domain sockets, men må benytte tcp-sockets i
stedet - og lign.

--
Greetings from Troels Arvin, Copenhagen, Denmark

---

Troels Arvin wrote:

> On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>
>
>>Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>>hosts og services) ?
>
>
> At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
> den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
> den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
> af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
> Postfix (er kun effektivt for software, der ikke kører som root).

Ahhh - jeg havde forstået at chroot'et betød at programmet blev afviklet
som en anden bruger end root - men den er altså også låst til et bestemt
subdir af file syetemet ?

>
> Ulempen er som du skriver, at det kan give redundans og at det kan give et
> mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
> databasesystem via unix domain sockets, men må benytte tcp-sockets i
> stedet - og lign.
>

Jeg kan jo bare lade være at rette i filerne med vi - og bruge
administrationsværktøjerne i stedet

Jørn

---

Den Mon, 08 Sep 2003 21:22:02 +0200 skrev Jørn Hundebøll:
>Troels Arvin wrote:
>
>> On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>>
>>
>>>Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>>>hosts og services) ?
>>
>>
>> At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
>> den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
>> den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
>> af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
>> Postfix (er kun effektivt for software, der ikke kører som root).
>
>Ahhh - jeg havde forstået at chroot'et betød at programmet blev afviklet
>som en anden bruger end root - men den er altså også låst til et bestemt
>subdir af file syetemet ?

Jeps. Root directory er roden af filsystemet, og chroot, "change root"
ændrer hvor processen ser roden af filsystemet.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

---

Den Tue, 09 Sep 2003 21:18:05 +0200 skrev Troels Arvin:
>On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>
>> Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>> hosts og services) ?
>
>At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
>den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
>den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
>af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
>Postfix (er kun effektivt for software, der ikke kører som root).
>
>Ulempen er som du skriver, at det kan give redundans og at det kan give et
>mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
>databasesystem via unix domain sockets, men må benytte tcp-sockets i
>stedet - og lign.

Er der noget i vejen for at bruge unix domain sockets, forudsat at de
ligger inde i chroot-directory'et? databasesystemet der ligger udenfor
kan jo sagtens åbne filer der er indenfor chroot'en.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

On Tue, 09 Sep 2003 19:24:24 +0000, Kent Friis wrote:

>>hvor Postfix fx. ikke længere kan snakke med et
>>databasesystem via unix domain sockets, men må benytte tcp-sockets i
>>stedet - og lign.
>
> Er der noget i vejen for at bruge unix domain sockets, forudsat at de
> ligger inde i chroot-directory'et? databasesystemet der ligger udenfor
> kan jo sagtens åbne filer der er indenfor chroot'en.

Nej, det er der ikke noget i vejen for, men det kan give et mere rodet
system, hvor man har flere kopier af samme stykke software kørende med
rod i forskellige dele af filsystemet.

- Med mindre software'en er i stand til at lytte på flere domain sockets
på samme tid, ligesom syslog fx. kan.

--
Greetings from Troels Arvin, Copenhagen, Denmark