Frostbyte Δημοσιεύτηκε Αύγουστος 3, 2012 #1 Κοινοποίηση Δημοσιεύτηκε Αύγουστος 3, 2012 Ειπα κι εγω σιγα σιγα να αρχισω να σκαλιζω πραγματα σε linux, μιας που περισεψε hardware απο μια αναβαθμηση εδω στο σπιτι.. To cut a long story short, φορεσα σε ενα μηχανιματακι τα Ubuntu 12.04 LTS x64 και εστησα ssh/apache/php/mysql και το mail-stack-delivery (postfix+dovecot). Ρυθμησα το postfix για local χρηση μονο, μιας που δεν θελω να χρησημοποιησω τον server στο internet (δινω προσβαση μεσω hamachi/haguichi) και εβαλα το FQDN της επιλογης μου (το ιδιο που εδωσα στο main.cf του postfix) στο /etc/hosts να κατευθηνει στο 127.0.0.1 Εγραψα επισης δυο μικρα php & sh scripts για να δημιουργουνε χρηστες με nologin και να τους φτιαχνουν Maildir directories (εχοντας βαλει στον apache2 τα αντιστοιχα sudo permissions επισης) Τελος εστησα το Roundcube mail και αρχησα τους πειραματισμους.. Το προβλημα τωρα ειναι οτι ενω μπορω να στειλω email μεταξυ των 2 admin accounts που εχω στο συστημα, οποιοδηποτε αλλο account που εχει δημιουργηθει απο τα php/sh scripts, μπορει να στειλει emails αλλα δεν μπορει να λαβει (παιρνω bounce, unknown user) Καμια ιδεα για το πως μπορω να φτιαξω το προβλημα? Παιδευομαι εδω και 2 μερες και δεν βρησκω λυση.. Ευχαριστω! Link to comment Share on other sites More sharing options...
Frostbyte Αύγουστος 3, 2012 Author #2 Κοινοποίηση Αύγουστος 3, 2012 Ειχα ξεχασει πως τα unix accounts ειναι case sensitive - οποτε βαζοντας ενα $user=strtolower($user) στο register.php μου, ελυσε το προβλημα. :hang2: Delete πλιξ! :lock: EDIT: Βασικα υπαρχει κατι που θα θελα να ρωτησω, για τους ποιο εμπειρους.. Υπαρχει τροπος να αποκρυψω τους χρηστες που δημιουργουν τα php/sh scripts μου απο το lightdm του Ubuntu? (Με καποια εντολη, οχι append σε αρχειο) Επισης το nologin ειναι ασφαλες? Δεν μπορει να μπει καποιος σε shell ή να αποκτησει οποιαδηποτε προσβαση αν το account του εχει nologin, σωστα? Link to comment Share on other sites More sharing options...
trendy Αύγουστος 4, 2012 #3 Κοινοποίηση Αύγουστος 4, 2012 Για το κομμάτι του nologin είναι ασφαλές όσο δεν υπάρχουν προβλήματα στην εφαρμογή που τα χρησιμοποιεί, αλλά σίγουρα αν έχεις ένα χρήστη για τον apache ή τη βάση σου δε χρειάζεται να έχει shell. Link to comment Share on other sites More sharing options...
Frostbyte Αύγουστος 5, 2012 Author #4 Κοινοποίηση Αύγουστος 5, 2012 Στον Αpache εχω δωσει NOPASSWD για mkdir, cp, chmod, chown & useradd στο /etc/sudoers για να μπορει να κανει accounts και να δημιουργει τα maildirs. Και το php script ειναι sanitized να δεχεται μονο αλφαριθμητικα, για να μη μπορει να κανει κανενας pipe απο το username. Και εν τελει το αλλαξα το shell σε /bin/false για να ειμαι σιγουρος οτι αποτρεπει και SSH/SCP/PuTTY/WinSCP. Λογικα τα ιδια, αν οχι περισσοτερα, απο το nologin πρεπει να κανει - δεν ειμαι σιγουρος. (Noob here ) Ελπιζω να ειναι ασφαλες, εκτος και αν υπαρχουν κιαλλες προτασεις φυσικα.. (Τωρα οτι υπηρεσια κι αν φουσκωσω στο μηχανημα, shell δεν θα χρειαστει κανενας user λογικα, και ισως ουτε και jail) Ασχετο: Οταν το φτιαξα, μου χαν κολησει αυτα τα 2 accounts με το 1ο γραμμα σε uppercase και οσες φορες τα σβηνα και τα ξαναδημιουργουσα, ο dovecot εκανε fail το auth (στο log εβλεπα να προσπαθει να κανει login με το uppercase username για καποιο λογο). Τελικα τους ξαναφτιαξα με uppercase οπως ηταν, εκανα usermod -l σε lowercase και τους εσβησα, για να ξεκολησουν.. Ξερω, μεσω λαμιας λυση ισως, αλλα αυτο σκευτικα αυτο εκανα.. Τι στο καλο πηγε στραβα ομως και ο dovecot επεμενε να χρησημοποιει τα παλια usernames? (με το 1ο γραμμα σε uppercase) ..Εχει cache αραγε? EDIT: Μολις τελειωσα και το password recovery php/sh, ουφ, 3 ωρες μου πηρε το ατιμο.. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.