Назад | Перейти на главную страницу

Почему постфикс по умолчанию изменился на процессы без chroot?

С участием Уровень совместимости = 2 в последних версиях постфиксов значение по умолчанию для постфиксовых демонов изменено с chroot на non-chroot. Хотя на странице описывается, что он изменился, и что вы можете сделать, чтобы продолжить использование chroot или прекратить его использование, причин не приводится.

Почему они изменили значение по умолчанию? Есть ли преимущества в запуске без chroot?

Если вы загрузите исходный код Postfix и изучите HISTORY файла, вы можете видеть, что это изменение было внесено 1 октября 2014 г. (Снимок 20141001):

Новые значения по умолчанию для master.cf chroot (п), append_dot_mydomain (нет) и smtputf8_enable (да).

В соответствующий git commit показывает все изменения, которые были внесены в исходный код и документацию на данный момент. К сожалению, причин для изменения этой настройки по умолчанию мало.

Как вы уже отметили, Сеть безопасности обратной совместимости Postfix утверждает, что

Новое значение по умолчанию устраняет необходимость в копиях системных файлов в каталоге очереди Postfix.

И Базовая конфигурация Postfix

Если у вашего компьютера необычные требования к безопасности, вы можете запустить процессы демона Postfix внутри chroot-окружения.


Некоторый поиск в Интернете дал несколько ключей к объяснению этого изменения:

В 2008 обсуждение использования chroot, Сказал Витсе

Я считаю, что chroot Postfix по умолчанию неуместен. Chroot имеет смысл на выделенных межсетевых экранах. Настольные компьютеры общего назначения работают с веб-браузерами и имеют гораздо большую поверхность для атак, чем Postfix когда-либо будет.

Позже 2011 г.

Поддержка Chroot имеет смысл для сайтов с очень ограниченными политиками доступа.


Я также прочитал следующее в SASL_README из Postfix 2.6:

Запуск программного обеспечения с chrooot с поддержкой SASL - интересное упражнение. Не стоит беспокоиться.

Текст этого файла был изменен в более поздних выпусках, но это указывает на то, что были проблемы, вызванные запуском почтового сервера в chroot jail. Сканирование архивов постфиксные пользователи список рассылки показывает, что это вызывало проблемы у некоторых пользователей.

Я лично запускаю Postfix в chroot jail и пока не использую saslauthd, Мне пришлось предпринять несколько дополнительных шагов по настройке milters, чтобы они могли связываться с chrooted-демонами Postfix через сокеты Unix.