/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Hvorfor flere resolve.conf (postfix)
Fra : Jørn Hundebøll


Dato : 08-09-03 20:10

Har lige skiftet internet udbyder, og min postfix kunne ikke slippe af
med mine mails. Problemet var at DNS infos i /etc/resolve.conf ikke
benyttes af postfix - den benytter i stedet
/var/spool/postfix/etc/resolv.conf

Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
hosts og services) ?

Jørn


 
 
Troels Arvin (09-09-2003)
Kommentar
Fra : Troels Arvin


Dato : 09-09-03 20:18

On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:

> Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
> hosts og services) ?

At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
Postfix (er kun effektivt for software, der ikke kører som root).

Ulempen er som du skriver, at det kan give redundans og at det kan give et
mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
databasesystem via unix domain sockets, men må benytte tcp-sockets i
stedet - og lign.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Jørn Hundebøll (08-09-2003)
Kommentar
Fra : Jørn Hundebøll


Dato : 08-09-03 20:22

Troels Arvin wrote:

> On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>
>
>>Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>>hosts og services) ?
>
>
> At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
> den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
> den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
> af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
> Postfix (er kun effektivt for software, der ikke kører som root).

Ahhh - jeg havde forstået at chroot'et betød at programmet blev afviklet
som en anden bruger end root - men den er altså også låst til et bestemt
subdir af file syetemet ?

>
> Ulempen er som du skriver, at det kan give redundans og at det kan give et
> mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
> databasesystem via unix domain sockets, men må benytte tcp-sockets i
> stedet - og lign.
>

Jeg kan jo bare lade være at rette i filerne med vi - og bruge
administrationsværktøjerne i stedet

Jørn


Kent Friis (11-09-2003)
Kommentar
Fra : Kent Friis


Dato : 11-09-03 16:25

Den Mon, 08 Sep 2003 21:22:02 +0200 skrev Jørn Hundebøll:
>Troels Arvin wrote:
>
>> On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>>
>>
>>>Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>>>hosts og services) ?
>>
>>
>> At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
>> den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
>> den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
>> af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
>> Postfix (er kun effektivt for software, der ikke kører som root).
>
>Ahhh - jeg havde forstået at chroot'et betød at programmet blev afviklet
>som en anden bruger end root - men den er altså også låst til et bestemt
>subdir af file syetemet ?

Jeps. Root directory er roden af filsystemet, og chroot, "change root"
ændrer hvor processen ser roden af filsystemet.

Mvh
Kent
--
If you think about it, Windows XP is actually the OS that
started as "Microsoft OS/2 NT 3.0"

Kent Friis (09-09-2003)
Kommentar
Fra : Kent Friis


Dato : 09-09-03 20:24

Den Tue, 09 Sep 2003 21:18:05 +0200 skrev Troels Arvin:
>On Mon, 08 Sep 2003 21:09:49 +0200, Jørn Hundebøll wrote:
>
>> Hvad er ideen med at have en privat/lokal udgave af denne fil (samt
>> hosts og services) ?
>
>At man så kan lade Postfix køre i chroot'et tilstand: I den tilstand er
>den tvunget ned i en specifik del af filsystemet, der da bliver alt, hvad
>den kan se og røre. Dette _kan_ være en effektiv beskyttelse af resten
>af systemet, hvis hærværksfolk skulle have held med at misbruge et hul i
>Postfix (er kun effektivt for software, der ikke kører som root).
>
>Ulempen er som du skriver, at det kan give redundans og at det kan give et
>mere besværligt system, hvor Postfix fx. ikke længere kan snakke med et
>databasesystem via unix domain sockets, men må benytte tcp-sockets i
>stedet - og lign.

Er der noget i vejen for at bruge unix domain sockets, forudsat at de
ligger inde i chroot-directory'et? databasesystemet der ligger udenfor
kan jo sagtens åbne filer der er indenfor chroot'en.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

Troels Arvin (09-09-2003)
Kommentar
Fra : Troels Arvin


Dato : 09-09-03 20:28

On Tue, 09 Sep 2003 19:24:24 +0000, Kent Friis wrote:

>>hvor Postfix fx. ikke længere kan snakke med et
>>databasesystem via unix domain sockets, men må benytte tcp-sockets i
>>stedet - og lign.
>
> Er der noget i vejen for at bruge unix domain sockets, forudsat at de
> ligger inde i chroot-directory'et? databasesystemet der ligger udenfor
> kan jo sagtens åbne filer der er indenfor chroot'en.

Nej, det er der ikke noget i vejen for, men det kan give et mere rodet
system, hvor man har flere kopier af samme stykke software kørende med
rod i forskellige dele af filsystemet.

- Med mindre software'en er i stand til at lytte på flere domain sockets
på samme tid, ligesom syslog fx. kan.

--
Greetings from Troels Arvin, Copenhagen, Denmark


Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste