С участием Уровень совместимости = 2 в последних версиях постфиксов значение по умолчанию для постфиксовых демонов изменено с chroot на non-chroot. Хотя на странице описывается, что он изменился, и что вы можете сделать, чтобы продолжить использование chroot или прекратить его использование, причин не приводится.
Почему они изменили значение по умолчанию? Есть ли преимущества в запуске без chroot?
Если вы загрузите исходный код Postfix и изучите HISTORY
файла, вы можете видеть, что это изменение было внесено 1 октября 2014 г. (Снимок 20141001):
Новые значения по умолчанию для master.cf
chroot
(п),append_dot_mydomain
(нет) иsmtputf8_enable
(да).
В соответствующий git commit показывает все изменения, которые были внесены в исходный код и документацию на данный момент. К сожалению, причин для изменения этой настройки по умолчанию мало.
Как вы уже отметили, Сеть безопасности обратной совместимости Postfix утверждает, что
Новое значение по умолчанию устраняет необходимость в копиях системных файлов в каталоге очереди Postfix.
И Базовая конфигурация Postfix
Если у вашего компьютера необычные требования к безопасности, вы можете запустить процессы демона Postfix внутри chroot-окружения.
Некоторый поиск в Интернете дал несколько ключей к объяснению этого изменения:
В 2008 обсуждение использования chroot, Сказал Витсе
Я считаю, что chroot Postfix по умолчанию неуместен. Chroot имеет смысл на выделенных межсетевых экранах. Настольные компьютеры общего назначения работают с веб-браузерами и имеют гораздо большую поверхность для атак, чем Postfix когда-либо будет.
Позже 2011 г.
Поддержка Chroot имеет смысл для сайтов с очень ограниченными политиками доступа.
Я также прочитал следующее в SASL_README
из Postfix 2.6:
Запуск программного обеспечения с chrooot с поддержкой SASL - интересное упражнение. Не стоит беспокоиться.
Текст этого файла был изменен в более поздних выпусках, но это указывает на то, что были проблемы, вызванные запуском почтового сервера в chroot jail. Сканирование архивов постфиксные пользователи список рассылки показывает, что это вызывало проблемы у некоторых пользователей.
Я лично запускаю Postfix в chroot jail и пока не использую saslauthd
, Мне пришлось предпринять несколько дополнительных шагов по настройке milters, чтобы они могли связываться с chrooted-демонами Postfix через сокеты Unix.