[Dovecot-de] Rechte von /etc/dovecot

[Sven Strickroth]

Am 27.04.2013 19:40 schrieb Peer Heinlein:
> Okay, aber wenn ich jetzt so weiter drüber nachdenke, wirst Du natürlich
> trotzdem immer in die Situation kommen, daß Deine Config zu weiten
> teilen für Userpresse lesbar sein muß. Schon deshalb, weil auch der
> imapd am Ende als vmail-User mit diesen Rechten läuft. LMTP hin oder her
> (Du solltest das trotzdem ändern), aber auch deshalb kannst Du das nicht
> beliebig zunageln.

Das deckt sich nicht mit meinen bisherigen Erfahrungen.

Bei chgrp dovecot /etc/dovecot und chmod 750 /etc/dovecot lief alles,
bis auf deliver (der demnächst durch lmtp ersetzt wird). Der
imap-Prozess (auch der einzige, der als vmail läuft) hat sich nie über
fehlende Rechte beschwert (bekommt der nicht eh alle Einstellungen über
Environment-Variablen übergeben?).

> Allerdings müßte es doch gehen, diese Datei einem "vmail:root" zu geben
> und dann ein 660 drauf zu machen. Die Dovecot-User-Prozesse sollten dann
> doch beliebig rankommen und mit End-Usern und ihrer Gruppe hat das
> nichts zu tun?

Schreibrechte für vmail? Das ist nicht nötig. Leserechte für die Gruppe
root mag für die dovecot.conf reichen, wenn man aber schon /etc/dovecot
"dicht machen" will reicht das nicht, da z.B. der dict-Service als
dovecot:dovecot läuft und dann die dicts nicht mehr lesen kann.

> Kommt jetzt am ende alles sehr drauf an, wie Du Deine User, mit deren
> Rechten eingerichtet hast und wo/wie du die Mails speicherst und welche
> Rechte/Gruppen da ins Spiel kommen. Da wäre dann auch ein "doveconf -n"
> hilfreich.

Die Mail-Benutzer gibts nur virtuell. Die Benutzer werden über die
userdb alle auf vmail:mail gemappt und das Homedir wird auf
/var/spool/vmail/%d/%n festgelegt. /var/spool/vmail/ kann nur von vmail
gelesen/geschrieben werden. Zur Abschottung gegen die User reichts also,
wenn die Konfig. nicht welt-lesbar ist.

-- 
Best regards,
 Sven Strickroth
 PGP key id F5A9D4C4 @ any key-server