Postfix + Dovecot + Squirrelmail in lokalni uporabniki - MSP omrežja

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Ta članek je nadaljevanje in zadnja mini serija:

• Squid + PAM preverjanje pristnosti na CentOS 7.
• Lokalno upravljanje uporabnikov in skupin
• Avtoritativni strežnik DNS NSD + Shorewall
• Prosody IM in lokalni uporabniki
  

Pozdravljeni prijatelji in prijatelji!

P Navdušenci želijo imeti svoj poštni strežnik. Ne želijo uporabljati strežnikov, kjer je med vprašanji »Zasebnost«. Oseba, zadolžena za izvajanje storitve na vašem majhnem strežniku, ni strokovnjak za to temo in bo najprej poskusila namestiti jedro prihodnjega in popolnega poštnega strežnika. Ali je "enačbe" za izdelavo celotnega poštnega strežnika nekoliko težko razumeti in uporabiti. 😉

Pripisi robnikov

• Jasno mora biti, katere funkcije izvaja vsak program, ki je vključen v poštni strežnik. Kot prvo vodilo podajamo vrsto uporabnih povezav z navedenim namenom njihovega obiska.
• Ročna izvedba celotne poštne storitve ročno in iz nič je naporen postopek, razen če ste eden od "izbranih", ki to vrsto nalog opravljate vsak dan. Poštni strežnik tvorijo - na splošno - različni programi, ki ločeno obdelujejo SMTP, POP / IMAP, Lokalno shranjevanje sporočil, naloge, povezane z obdelavo SPAM, Protivirusni programi itd. VSI programi morajo medsebojno pravilno komunicirati.
• Za upravljanje uporabnikov ne obstaja ena sama velikost ali »najboljše prakse«; kje in kako shraniti sporočila ali kako narediti, da vse komponente delujejo kot ena celota.
• Sestavljanje in uravnavanje poštnega strežnika sta ponavadi neprijetna pri zadevah, kot so dovoljenja in lastniki datotek, izbira uporabnika, ki bo zadolžen za določen postopek, ter majhne napake v nekaterih ezoteričnih konfiguracijskih datotekah.
• Če ne veste dobro, kaj počnete, bo končni rezultat negotov ali nekoliko nefunkcionalen poštni strežnik. Da na koncu izvajanja ne deluje, bo morda manjše zlo.
• Na internetu lahko najdemo veliko količino receptov, kako narediti poštni strežnik. Eden najbolj popolnih -po mojem zelo osebnem mnenju- je tista, ki jo ponuja avtor ivar abrahamsen v svoji trinajsti izdaji januarja 2017 «Kako nastaviti poštni strežnik v sistemu GNU / Linux".
• Priporočamo tudi branje članka «Poštni strežnik v Ubuntu 14.04: Postfix, Dovecot, MySQL«, ali «Poštni strežnik v Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Prav. Najboljšo dokumentacijo v zvezi s tem lahko najdete v angleščini.
  • Čeprav nikoli ne delamo poštnega strežnika, ki bi ga natančno vodili Kako ... omenjeno v prejšnjem odstavku, nam bo že samo dejstvo, da bomo sledili po korakih, zelo dobro predstavilo, s čim se bomo soočili.
• Če želite v nekaj korakih imeti celoten poštni strežnik, lahko sliko prenesete iRedOS-0.6.0-CentOS-5.5-i386.iso, ali pa poiščite modernejšega, najsi bo to iRedOS ali iRedMail. To je način, ki ga osebno priporočam.

Namestili in konfigurirali bomo:

• Postfix kot strežnik Mčesen Transport Agent (SMTP).
• Dovecot kot strežnik POP - IMAP.
• Potrdila za povezave prek TLS.
• Squirrelmail kot spletni vmesnik za uporabnike.
• DNS zapis glede na «Okvir pošiljateljske politike»Ali SPF.
• Generiranje modulov Skupina Diffie Hellman za povečanje varnosti potrdil SSL.

Narediti je treba še:

Izvajati bi morali vsaj naslednje storitve:

• postgrey: Pravilniki strežnika Postfix za sive sezname in zavrnejo neželeno pošto.
  
• Amavisd-novo: skript, ki ustvari vmesnik med MTA ter antivirusnimi programi in filtri vsebine.
• Protivirusni program Clamav: protivirusni paket
• SpamAssassin: izvleček neželene pošte
• Razor (pyzor): Zajemanje neželene pošte prek distribuiranega in skupnega omrežja. Mreža Vipul Razor vzdržuje posodobljen katalog razmnoževanja neželene pošte ali neželene pošte.
• DNS zapis "DomainKeys Identified Mail" oz razširitev dkim.

Paketi postgrey, amavisd-new, clamav, spamassassin, britvica y pyzor Najdemo jih v skladiščih programov. Program bomo tudi našli openkim.

• Pravilna izjava zapisov DNS "SPF" in "DKIM" je bistvenega pomena, če ne želimo, da bi naš poštni strežnik pravkar začel delovati, če bi ga druge poštne storitve, kot je npr., Razglasile za nezaželeno ali proizvajalca neželene pošte ali neželene pošte. Gmail, Yahoo, hotmailitd.

Začetni pregledi

Ne pozabite, da je ta članek nadaljevanje drugih, ki se začnejo v Squid + PAM preverjanje pristnosti na CentOS 7.

Vmesnik LAN Ens32, povezan z notranjim omrežjem

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = javno

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN vmesnik povezan z internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statični HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Usmerjevalnik ADSL je povezan s # tem vmesnikom z # naslednjim naslovom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = zunanje

Ločljivost DNS iz LAN-a

[root@linuxbox ~]# cat /etc/resolv.conf iskanje desdelinux.fan imenski strežnik 127.0.0.1 imenski strežnik 172.16.10.30 [root@linuxbox ~]# pošta gostitelja
pošte.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.

[root@linuxbox ~]# hostmail.desdelinux.fan
pošte.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.

Ločljivost DNS iz interneta

buzz@sysadmin:~$hostmail.desdelinux.ventilator 172.16.10.30
Uporaba domenskega strežnika: Ime: 172.16.10.30 Naslov: 172.16.10.30#53 Vzdevki: pošta.desdelinux.fan je vzdevek za desdelinux.fan.
desdelinux.fan ima naslov 172.16.10.10
desdelinux.fan mail obravnava 10 mail.desdelinux.fan.

Težave pri lokalnem reševanju imena gostitelja «desdelinux.fan"

Če imate težave z razreševanjem imena gostitelja «desdelinux.fan" Iz LAN, poskusite komentirati vrstico datoteke /etc/dnsmasq.conf kjer je razglašena lokalno=/desdelinux.fan/. Nato znova zaženite Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte spodnjo vrstico:
# lokalno=/desdelinux.fan/

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
Preusmeritev v / bin / systemctl znova zaženite dnsmasq.service

[root @ linuxbox ~] # status dnsmasq storitve

[root@linuxbox ~]# gostitelj desdelinux.fan
desdelinux.fan ima naslov 172.16.10.10
desdelinux.fan mail obravnava 10 mail.desdelinux.fan.

Postfix in Dovecot

Zelo obsežno dokumentacijo Postfix in Dovecot najdete na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt ZDRUŽLJIVOST main.cf.default TLS_ACKNOWLEDGEMENTS primeri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AVTORJI KOPIRANJE.MIT dovecot-openssl.cnf NOVICE wiki KOPIRANJE ChangeLog primer-konfiguracija PREBERI KOPIRANJE.LGPL dokumentacija.txt mkcert.sh solr-schema.xml

V CentOS 7 je Postfix MTA privzeto nameščen, ko izberemo možnost Infrastructure Server. Preveriti moramo, ali kontekst SELinux omogoča pisanje v Potfix v lokalno čakalno vrsto sporočil:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Spremembe v požarnem ziduD

Z uporabo grafičnega vmesnika za konfiguriranje požarnega zidu moramo zagotoviti, da so za vsako cono omogočene naslednje storitve in vrata:

# ------------------------------------------------- -----
# Popravki v požarnem ziduD
# ------------------------------------------------- -----
# Požarni zid
# Javna cona: storitve http, https, imap, pop3, smtp
# Javno območje: vrata 80, 443, 143, 110, 25

# Zunanje območje: storitve http, https, imap, pop3s, smtp
# Zunanje območje: vrata 80, 443, 143, 995, 25

Namestimo Dovecot in potrebne programe

[root @ linuxbox ~] # yum namestite dovecot mod_ssl procmail telnet

Najmanjša Dovecot konfiguracija

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli =imap pop3 lmtp
poslušati =*, ::
prijava_pozdrav = Dovecot je pripravljen!

Izrecno onemogočimo avtentikacijo Dovecot v navadnem besedilu:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = da

Skupini izjavljamo potrebne privilegije za interakcijo z Dovecot in lokacijo sporočil:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Potrdila za Dovecot

Dovecot samodejno ustvari vaše testne certifikate na podlagi podatkov v datoteki /etc/pki/dovecot/dovecot-openssl.cnf. Če želite ustvariti nova potrdila v skladu z našimi zahtevami, moramo izvesti naslednje korake:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = yes differented_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # država (2 črkovna koda) C=CU # Ime države ali province (polno ime) ST=Cuba # Ime kraja (npr. mesto ) L=Havana # Organizacija (npr. podjetje) O=DesdeLinux.Fan # Ime organizacijske enote (npr. razdelek) OU=Enthusiasts # Običajno ime (možno je tudi *.example.com) CN=*.desdelinux.fan # E-poštni kontakt emailAddress=buzz@desdelinux.fan [ vrsta_certifikata ] nsCertType = strežnik

Odpravljamo potrdila o preizkusu

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izbrisati običajno datoteko "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izbrisati navadno datoteko "private / dovecot.pem"? (y / n) y

Kopiramo in izvedemo skript mkcert.sh iz imenika dokumentacije

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Ustvarjanje 1024-bitnega zasebnega ključa RSA ......++++++ ................++++++ pisanje novega zasebnega ključa v '/etc/ pki/dovecot/private/dovecot.pem' ----- subjekt= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
skupaj 4 -rw -------. 1 korenski koren 1029 22. maja 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l zasebno /
skupaj 4 -rw -------. 1 korenski koren 916 22. maja 16:08 dovecot.pem

[root @ linuxbox dovecot] # ponovni zagon storitve dovecot
[root @ linuxbox dovecot] # status dovecot storitve

Potrdila za Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

Ustvarjanje 4096-bitnega zasebnega ključa RSA .........++ ..++ pisanje novega zasebnega ključa v 'private/domain.tld.key' ----- Pozvani boste, da vnesete informacije ki bo vključen v vašo zahtevo za potrdilo. Kar boste vnesli, je tisto, kar se imenuje razločno ime ali DN. Obstaja kar nekaj polj, vendar lahko nekatera pustite prazna. Za nekatera polja bo privzeta vrednost. Če vnesete '.', bo polje ostalo prazno. ----- Ime države (2 črkovna koda) [XX]: Ime države ali province CU (polno ime) []: Ime kraja Kube (npr. mesto) [Privzeto mesto]: Ime organizacije Havana (npr. podjetje) [ Default Company Ltd]:DesdeLinuxIme organizacijske enote .Fan (npr. razdelek) []: Splošno ime navdušencev (npr. vaše ime ali ime gostitelja vašega strežnika) []:desdelinux.fan e-poštni naslov []:buzz@desdelinux.fan

Minimalna konfiguracija Postfix

Dodamo na konec datoteke / etc / vzdevki naslednji:

koren: brenčanje

Da spremembe začnejo veljati, izvedemo naslednji ukaz:

[root @ linuxbox ~] # newaliases

Konfiguracijo Postifx lahko izvedete z neposrednim urejanjem datoteke /etc/postfix/main.cf ali po ukazu postconf -e skrbimo, da se vsi parametri, ki jih želimo spremeniti ali dodati, odražajo v eni vrstici konzole:

• Vsak mora navesti možnosti, ki jih razume in potrebuje!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mojadomena = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = vsi'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dodamo na konec datoteke /etc/postfix/main.cf spodaj navedene možnosti. Če želite vedeti pomen vsakega od njih, priporočamo, da preberete spremno dokumentacijo.

biff = št
append_dot_mydomain = št
čas zakasnitve_opozorila = 4 ure
readme_directory = št
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls = da
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = dovoljenje_mreže dovoljenje_sasl_authenticated defer_unauth_destination

# Največja velikost nabiralnika 1024 megabajtov = 1 g in g
mailbox_size_limit = 1073741824

prejemnik_delimiter = +
maksimalno_tevilo_ivotne dobe = 7d
header_checks = regularni izraz: / etc / postfix / header_checks
body_checks = regularni izraz: / etc / postfix / body_checks

# Računi, ki pošljejo kopijo dohodne pošte na drug račun
prejemnik_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Naslednje vrstice so pomembne za določitev, kdo lahko pošilja pošto in posreduje drugim strežnikom, da nenamerno ne konfiguriramo "odprtega releja", ki nepooblaščenim uporabnikom omogoča pošiljanje pošte. Če želite razumeti, kaj posamezna možnost pomeni, si oglejte strani s pomočjo Postfix.

• Vsak mora navesti možnosti, ki jih razume in potrebuje!.

smtpd_helo_restrictions = dovoli_moja omrežja,
 warn_if_reject reject_non_fqdn_hostname,
 zavrni_neveljavno_ime gostitelja,
 omogočajo

smtpd_sender_restrictions = dovoljenje_sasl_authenticated,
 dovoljenje_mreža,
 warn_if_reject reject_non_fqdn_sender,
 zavrni_neznano_datoteko_pošiljatelja,
 reject_unauth_pipelining,
 omogočajo

smtpd_client_restrictions = zavrni_rbl_client sbl.spamhaus.org,
 zavrni_rbl_klient blackholes.easynet.nl

# OPOMBA: Možnost "check_policy_service inet: 127.0.0.1: 10023"
# omogoča program Postgrey in ga ne smemo vključiti
# drugače bomo uporabili Postgrey

smtpd_recipient_restrictions = zavrni_nautino_pipeliniranje,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo

smtpd_data_restrictions = zavrni_nautino_pipeliranje

smtpd_relay_restrictions = zavrni_unauth_pipelining,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo
 
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da

Datoteke ustvarimo / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyin spremenite datoteko / etc / postfix / header_checks.

• Vsak mora navesti možnosti, ki jih razume in potrebuje!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Če je ta datoteka spremenjena, ni treba # zagnati postmapa # Če želite preizkusiti pravila, zaženite kot root: # postmap -q 'super nov v1agra' regularni izraz: / etc / postfix / body_checks
# Naj se vrne: # ZAVRNITE Pravilo # 2 Telo sporočila proti neželeni pošti
/ viagra / REJECT Pravilo # 1 Proti neželeni pošti sporočila
/ super new v [i1] agra / REJECT Pravilo # 2 Zaščita pred neželeno pošto sporočila

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po spremembi morate izvesti: # postmap / etc / postfix / accounts_ forwarding_copy
# in datoteka je ustvarjena ali izmerjena: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # EN račun za posredovanje enega BCC kopija # BCC = črna kopija # Primer: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na konec datoteke # NE ZAHTEVA poštnega zemljevida, saj so regularni izrazi
/ ^ Zadeva: =? Big5? / REJECT Kitajsko kodiranje tega strežnika ne sprejema
/ ^ Zadeva: =? EUC-KR? / REJECT Korejsko kodiranje tega strežnika ne dovoljuje
/ ^ Zadeva: ADV: / REJECT Oglaševanje, ki ga ta strežnik ne sprejema
/^ Od :.*\@.*\.cn/ ZAVRNI
/^Od:.*\@.*\.kr/ ZAVRNI Žal korejska pošta tukaj ni dovoljena
/^Od:.*\@.*\.tr/ ZAVRNI Oprostite, turška pošta tukaj ni dovoljena
/^Od:.*\@.*\.ro/ ZAVRNITE Oprostite, romunska pošta tukaj ni dovoljena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker News | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masovni pošiljatelji niso dovoljeni.
/ ^ Od: "neželena pošta / ZAVRNI
/ ^ Od: "neželena pošta / ZAVRNI
/^ Predmet :.*viagra/ ZAVRNI
# Nevarne razširitve
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne sprejemamo prilog s temi razširitvami

Preverimo skladnjo, znova zaženemo Apache in Postifx ter omogočimo in zaženemo Dovecot

[root @ linuxbox ~] # preverjanje postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl znova zaženite httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl znova zaženite postfix
[root @ linuxbox ~] # postfiks stanja systemctl

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - e-poštni strežnik Dovecot IMAP / POP3 Naloženo: naloženo (/usr/lib/systemd/system/dovecot.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogoči dovecot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl znova zaženite golobico
[root @ linuxbox ~] # systemctl status dovecot

Preverjanja na ravni konzole

• Preden nadaljujete z namestitvijo in konfiguracijo drugih programov, je zelo pomembno, da opravite najmanj potrebne preglede storitev SMTP in POP..

Lokalno od samega strežnika

Lokalnemu uporabniku pošljemo e-pošto Legolas.

[root @ linuxbox ~] # echo "Pozdravljeni. To je testno sporočilo" | mail -s "Test" legolas

Preverjamo nabiralnik legole.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po sporočilu Dovecot je pripravljen! nadaljujemo:

---
+ OK Dovecot je pripravljen!
UPORABNIK legolas +OK PASS legolas +OK Prijavljen. STAT +OK 1 559 LIST +OK 1 sporočila: 1 559 . RETR 1 +OK 559 oktetov Povratna pot:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Prejeto: avtor desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Pon, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Testni uporabniški agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdravljeni. To je testno sporočilo. KONČAJ KONČANO
[root @ linuxbox ~] #

Daljinski upravljalniki iz računalnika v LAN-u

Pošljimo še eno sporočilo Legolas iz drugega računalnika v LAN-u. Upoštevajte, da v omrežju MSP varnost TLS NI nujno potrebna.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan\
-u "Pozdravljeni" \
-m "Legolas od vašega prijatelja Buzz"
-s e-pošta.desdelinux.fan -o tls=št
22. maj 10:53:08 sysadmin sendemail [5866]: E-pošta je bila uspešno poslana!

Če se poskusimo povezati skozi telnet Od gostitelja v LAN-u - ali prek interneta, seveda - do Dovecota, se bo zgodilo naslednje, ker onemogočimo avtentifikacijo v odprtem besedilu:

buzz@sysadmin:~$ telnet pošta.desdelinux.fan 110 Poskus 192.168.10.5 ...
Povezan z linuxboxom.desdelinux.fan. Ubežni znak je '^]'. +OK Dovecot je pripravljen! uporabnik legolas
-ERR [AUTH] Preverjanje pristnosti v odprtem besedilu ni dovoljeno na povezavah, ki niso varne (SSL / TLS).
izhod + OK Odjava Povezava je zaprta s strani tujega gostitelja.
buzz @ sysadmin: ~ $

To moramo storiti skozi openssl. Celotni izhod ukaza bi bil:

buzz@sysadmin:~$ openssl s_client -crlf -poveži pošto.desdelinux.fan:110 -starttls pop3
POVEZAN (00000003)
globina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziasti, CN = *.desdelinux.fan, e-poštni naslov = buzz@desdelinux.fan
napaka preverjanja: num = 18: samopodpisano potrdilo preverjanje vrnitve: 1
globina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziasti, CN = *.desdelinux.fan, e-poštni naslov = buzz@desdelinux.fan verify return:1
--- Veriga potrdil 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Imena CA potrdila odjemalca niso bila poslana Temp. ključ strežnika: ECDH, secp384r1, 384 bitov --- SSL rokovanje je prebralo 1342 bajtov in zapisalo 411 bajtov --- Novo, TLSv1/SSLv3, Šifra je ECDHE-RSA-AES256 -GCM-SHA384 Javni ključ strežnika je 1024-bitno Varno ponovno pogajanje JE podprto Stiskanje: NI Razširitev: NI SSL-seja: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125 FF5989F5DB 6C5295BF4E2D73A ID-seje- ctx : Glavni ključ: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Brez Krb5 Glavni: Brez Identiteta PSK: Brez namiga o identiteti PSK: Brez Namiga o življenjski dobi vstopnice za sejo TLS: 300 (sekund) Vstopnice za sejo TLS: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 od 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. Začetni čas: 1495484262 Časovna omejitev: 300 (sek) Preverite povratno kodo: 18 (samopodpisano potrdilo) ---
+ OK Dovecot je pripravljen!
UPORABNIŠKE legole
+ V redu
PASS legole
+ V redu Prijavi se.
SEZNAM
+ OK 1 sporočila: 1 1021.
NAZAJ 1
+OK 1021 oktetov Povratna pot: X-Original-Za: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prejeto: od sistemskega skrbnika.desdelinux.fan (prehod [172.16.10.1]) avtor desdelinux.fan (Postfix) z ESMTP ID 51886C11E8C0 zadesdelinux.fan>; Pon, 22. maj 2017 15:09:11 -0400 (EDT) ID sporočila: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan"desdelinux.fan> Zadeva: Pozdravljeni Datum: Pon, 22. maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" To je večdelno sporočilo v formatu MIME. Za pravilen prikaz tega sporočila potrebujete e-poštni program, združljiv z MIME različico 1.0. ------Ločilo MIME za sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Lep pozdrav Legolasu od vašega prijatelja Buzz ------Ločilo MIME za sendEmail-365707.724894495-- .
QUIT
+ V redu Odjava. zaprto
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail je spletni odjemalec, v celoti napisan v PHP. Vključuje izvorno podporo PHP za protokola IMAP in SMTP ter zagotavlja največjo združljivost z različnimi uporabljenimi brskalniki. Pravilno deluje na katerem koli strežniku IMAP. Ima vse funkcije, ki jih potrebujete od e-poštnega odjemalca, vključno s podporo za MIME, imenikom in upravljanjem map.

[root @ linuxbox ~] # yum namestite squirrelmail
[root @ linuxbox ~] # ponovni zagon storitve httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domena = 'desdelinux.fan';
$imapServerAddress = 'pošta.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # ponovno naloži storitev httpd

DNS Pošiljanje pravilnika Framenwork ali zapis SPF

V članku Avtoritativni strežnik DNS NSD + Shorewall Videli smo, da cona «desdelinux.fan» je bil konfiguriran na naslednji način:

root@ns:~# nano /etc/nsd/desdelinux.fan.cona
$ORIGIN desdelinux.fan. $TTL 3H @ IN SOA št.desdelinux.fan. korenina.desdelinux.fan. (1; serijski 1D; osvežitev 1H; ponovni poskus 1W; potek 3H); najmanj ali ; Negativni življenjski čas predpomnjenja; @ IN NS ns.desdelinux.fan. @ IN MX 10 email.desdelinux.fan.
@ IN TXT "v=spf1 a:mail.desdelinux.fan -vse"
; ; Registracija za reševanje dig poizvedb desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 pošta IN CNAME   desdelinux.fan. klepet IN CNAME   desdelinux.fan. www IN CNAME   desdelinux.fan. ; ; Zapisi SRV, povezani z XMPP
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.fan.

V njem je razviden register:

@ IN TXT "v=spf1 a:mail.desdelinux.fan -vse"

Če želite imeti enak parameter konfiguriran za omrežje SME ali LAN, moramo konfiguracijsko datoteko Dnsmasq spremeniti na naslednji način:

# Zapisi TXT. Lahko tudi deklariramo zapis SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -vse"

Nato storitev znova zaženemo:

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
[root@linuxbox ~]# storitev dnsmasq status [root@linuxbox ~]# gostitelj -t TXT mail.desdelinux.pošta oboževalcev.desdelinux.fan je vzdevek za desdelinux.fan.
desdelinux.fan opisno besedilo "v=spf1 a:mail.desdelinux.fan -vse"

Samopodpisana potrdila in Apache ali httpd

Tudi če vam brskalnik pove, da «Lastnik pošte.desdelinux.fan Napačno ste konfigurirali svoje spletno mesto. Da bi preprečil krajo vaših podatkov, Firefox ni vzpostavil povezave s tem spletnim mestom «, predhodno ustvarjenim potrdilom VELJA VELJAVNOin bo omogočil, da bodo poverilnice med odjemalcem in strežnikom šifrirane, potem ko bomo potrdilo sprejeli.

Če želite in kot način poenotenja potrdil lahko za Apache prijavite enaka potrdila, kot ste jih prijavili za Postfix, kar je pravilno.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # storitev httpd status

Skupina Diffie-Hellman

Tema Varnost je vsak dan težja na internetu. Eden najpogostejših napadov na povezave SSL, je zastoj in za obrambo pred njo je treba v konfiguracijo SSL dodati nestandardne parametre. Za to obstaja RFC-3526 «Bolj modularno eksponentno (MODP) Diffie–Hellman skupine za internetno izmenjavo ključev (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Glede na različico Apacheja, ki smo jo namestili, bomo iz datoteke uporabili skupino Diffie-Helman /etc/pki/tls/dhparams.pem. Če gre za različico 2.4.8 ali novejšo, jo bomo morali dodati v datoteko /etc/httpd/conf.d/ssl.conf naslednja vrstica:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Različica Apache, ki jo uporabljamo, je:

[root @ linuxbox tls] # yum info httpd
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Nalaganje hitrosti zrcal iz predpomnjene datoteke gostitelja Nameščeni paketi Ime: httpd Arhitektura: x86_64
Različica: 2.4.6
Izdaja: 45.el7.centos Velikost: 9.4 M Repozitorij: nameščen Iz repozitorija: Base-Repo Povzetek: URL strežnika Apache HTTP: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Strežnik Apache HTTP je zmogljiv , učinkovit in razširljiv: spletni strežnik.

Ker imamo različico pred 2.4.8, na koncu predhodno ustvarjenega certifikata CRT dodamo vsebino skupine Diffie-Helman:

[root @ linuxbox tls] # mačka private / dhparams.pem >> potrdila/desdelinux.fan.crt

Če želite preveriti, ali so bili parametri DH pravilno dodani potrdilu CRT, izvedite naslednje ukaze:

[root @ linuxbox tls] # mačka private / dhparams.pem 
----- ZAČNI PARAMETRI DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

[root@linuxbox tls]# mačja potrdila/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

Po teh spremembah moramo znova zagnati storitve Postfix in httpd:

[root @ linuxbox tls] # ponovni zagon storitve postfix
[root @ linuxbox tls] # status postfix storitve
[root @ linuxbox tls] # ponovni zagon storitve httpd
[root @ linuxbox tls] # status httpd storitve

Vključitev skupine Diffie-Helman v naša potrdila TLS bo morda nekoliko počasneje povezovala HTTPS, vendar se dodajanje varnosti splača.

Preverjanje veverice

PO da so potrdila pravilno ustvarjena in da preverjamo njihovo pravilno delovanje, kot smo to storili z ukazi konzole, usmerite želeni brskalnik na URL http://mail.desdelinux.fan/webmail in se bo po sprejetju ustreznega potrdila povezal s spletnim odjemalcem. Čeprav določite protokol HTTP, bo preusmerjen na HTTPS, kar je posledica privzete konfiguracije, ki jo CentOS ponuja za Squirrelmail. Glej datoteko /etc/httpd/conf.d/squirrelmail.conf.

O nabiralnikih uporabnikov

Dovecot v mapi ustvari nabiralnike IMAP domov vsakega uporabnika:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
skupaj 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legole legole 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 22. maj 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legoli mail 56 22. maj 10:23 INBOX drwx ------. 2 legole legole 56 22. maj 12:39 Poslano drwx ------. 2 legole legole 30. maja 22 11:34 Smetnjak

Shranjeni so tudi v / var / mail /

[root @ linuxbox ~] # manj / var / mail / legolas
Od MAILER_DAEMON Pon, 22. maj 10:28:00 2017 Datum: Pon, 22. maj 2017 10:28:00 -0400 Od: Notranji podatki poštnega sistema Zadeva: NE IZBRIŠI TEGA SPOROČILA -- NOTRANJI PODATKI MAPE ID sporočila: <1495463280@linuxbox> . Programska oprema poštnega sistema ga ustvari samodejno. Če izbrišete, bodo pomembni podatki mape izgubljeni in bodo ponovno ustvarjeni s ponastavitvijo podatkov na začetne vrednosti. Od root@desdelinux.fan Mon May 22 10:47:10 2017 Povratna pot:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Prejeto: avtor desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Pon, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Testni uporabniški agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdravljeni. To je testno sporočilo od buzz@deslinux.fan Pon, 22. maja 10:53:08 2017 Povratna pot: X-Original-Za: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prejeto: od sistemskega skrbnika.desdelinux.fan (prehod [172.16.10.1]) avtor desdelinux.fan (Postfix) z ESMTP ID C184DC11FC57 zadesdelinux.fan>; Pon, 22. maj 2017 10:53:08 -0400 (EDT) ID sporočila: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan"desdelinux.fan> Zadeva: Pozdravljeni Datum: Pon, 22. maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME ločilo za sendEmail-794889.899510057
/ var / mail / legolas

Povzetek mini serije PAM

Preučili smo jedro poštnega strežnika in nekoliko poudarili varnost. Upamo, da članek služi kot vstopna točka za tako zapleteno in dovzetno napako, saj gre za ročno izvajanje poštnega strežnika.

Uporabljamo lokalno avtentikacijo uporabnika, ker če datoteko pravilno preberemo /etc/dovecot/conf.d/10-auth.conf, bomo videli, da je na koncu vključen -privzeto- avtentikacijska datoteka uporabnikov sistema ! vključuje auth-system.conf.ext. Ravno ta datoteka nam v glavi pove, da:

[root @ linuxbox ~] # manj /etc/dovecot/conf.d/auth-system.conf.ext
# Preverjanje pristnosti za uporabnike sistema. Vključeno iz 10-auth.conf. # # # # Preverjanje pristnosti PAM. Danes je všeč večini sistemov.
# PAM se običajno uporablja bodisi z userdb passwd bodisi userdb static. # ZAPOMNI: Potrebovali boste datoteko /etc/pam.d/dovecot, ustvarjeno za preverjanje pristnosti PAM #, da bo dejansko delovala. passdb {gonilnik = pam # [seja = da] [setcred = da] [neuspeh_pokazati_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

In druga datoteka obstaja /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth

Kaj poskušamo sporočiti o preverjanju pristnosti PAM?

• CentOS, Debian, Ubuntu in številne druge distribucije Linuxa namestijo Postifx in Dovecot z lokalno overitvijo, ki je privzeto omogočena.
• Številni članki na internetu uporabljajo MySQL - in v zadnjem času MariaDB - za shranjevanje uporabnikov in drugih podatkov o poštnem strežniku. A to so strežniki za TISOČE UPORABNIKOV in ne za klasično MSP omrežje z - morda - stotimi uporabniki.
• Preverjanje pristnosti prek PAM je potrebno in zadostno za zagotavljanje omrežnih storitev, če delujejo na enem strežniku, kot smo videli v tej seriji.
• Uporabnike, shranjene v zbirki podatkov LDAP, lahko preslikate, kot da gre za lokalne uporabnike, overitev PAM pa lahko uporabite za zagotavljanje omrežnih storitev iz različnih strežnikov Linux, ki delujejo kot odjemalci LDAP za osrednji strežnik za preverjanje pristnosti. Na ta način bi delali s poverilnicami uporabnikov, ki so shranjene v bazi podatkov osrednjega strežnika LDAP, in NE bi bilo bistvenega pomena vzdrževanje baze podatkov z lokalnimi uporabniki.

  

  

  

Do naslednje pustolovščine!