Короче говоря, я настраиваю Голубятня почтовый сервер. Изначально я намеревался использовать виртуальные пользователи для аутентификации IMAP/POP3 - в основном Dovecot ищет своих пользователей в отдельном пароль файл, что означает, что наши почтовые пользователи не смогут получить доступ к самой машине. Это предпочтительнее, но оказалось довольно больно управлять. Это хлопотно, потому что одно из требований, которое мне было дано, — это простое администрирование и все, что за его пределами. Добавить пользователя не считается простым.
Итак, я начал искать другой способ аутентификации пользователей в Dovecot, а именно использование собственного PAM Linux. Почтовый пользователь ищется в собственной /etc/passwd базе данных и аутентифицируется по /и т.д./тень хэш пароля автоматически. Это также означает, что пользователей можно будет добавлять, изменять и удалять с помощью стандартного набора инструментов Linux для этой работы.
Это было бы совершенно просто в управлении, за исключением того, что мне нужно сделать его еще и безопасным. Я хотел бы полностью ограничить доступ почтовых пользователей к самому почтовому серверу. Не позволяйте им входить в систему через SSH, не позволяйте им входить в систему локально. Им также не понадобится домашний каталог, поскольку почта хранится в отдельном месте. Размер компании будет означать около 30 дополнительных почтовых пользователей, и с уверенностью могу сказать, что я не доверяю им свои пароли — их будут использовать повторно, они станут утечками. Если я пойду по этому пути, мне нужно защитить сервер от него.
Это мое представление о том, что делать до сих пор:
- Создайте одного обычного пользователя без полномочий root для администрирования (и входа по SSH) с домашним каталогом и т. д., назовите их администратор, Например.
- В
/etc/ssh/sshd_config установлен Администратор AllowUsers чтобы запретить всем остальным пытаться войти в систему через SSH.
- Добавить группу пользователей почты
почтовые пользователи addgroup.
- Создайте новых пользователей почты, используя
adduser --shell /sbin/nologin --no-create-home --ingroup mailusers (и, возможно, псевдоним для такой команды, как addmailuser для удобства использования).
Теперь мои вопросы:
- Является ли использование аутентификации PAM приемлемой практикой в целом?
- Достаточно ли мер предосторожности, которые я изложил?
- И если это не так, является ли список вещей, которые я забыл, исчерпывающим или существует слишком много потенциальных проблем в будущем, мне лучше просто отказаться от этого подхода и выбрать какое-то другое решение?
