У меня есть сервер Debian Jessie, который предоставляет (веб-) почту с использованием postfix, dovecot и roundcube.
Чтобы войти в веб-почту roundcube, я должен использовать свое системное имя пользователя и пароль. Это кажется серьезным недостатком безопасности - хотя roundcube использует шифрование ssl, однажды я могу использовать поврежденный компьютер в интернет-кафе. Если кто-то еще получает информацию для входа в веб-почту, он также имеет доступ к моему серверу, включая привилегии sudo (root).
Я хотел бы использовать другой пароль для (веб-) почты (а также для всех других служб, которые я могу использовать на разных компьютерах).
Поэтому у меня есть следующие вопросы:
Можно использовать PAM для аутентификации, но разделите учетные записи пользователей для административного доступа и приложения на уровне пользователя, например почту. Вы должны либо отделить базу данных пользователей и аутентификацию dovecot и postfix от PAM, системного, либо создать другую системную учетную запись, которую вы используете для администрирования через SSH, а не для почты.
Второй вариант очень прост, просто используйте adduser для создания нового пользователя разрешите вход по SSH и sudo только для этого пользователя. При желании требуется проверка подлинности с открытым ключом, чтобы вам больше не требовался пароль для удаленного входа в систему (а это запрещено). Смена пароля для системы PAM выполняется с помощью passwd.
Другая возможность - изменить серверную часть аутентификации saslauth dovecot, настроенную в /etc/dovecot/conf.d/10-auth.conf.
Существует недостаток безопасности, поскольку вы используете привилегированную учетную запись (учетную запись sudo) для выполнения задачи, которую обычно выполняет обычный пользователь (без привилегий).
Я бы добавил простую системную учетную запись и использовал ее для аутентификации в roundcube для получения моих писем.
Кроме того, я тебе не верю needсистемный учет для этого. Там must быть еще одним способом управления учетными записями (например, учетными записями, хранящимися в базе данных (MySQL или LDAP)). Дело в том, что для базовой установки проще использовать системную аутентификацию, и это может соответствовать единственному использованию. Если у вас есть сотни пользователей электронной почты, вы, конечно, не будете использовать системные учетные записи. вы можете захотеть прочитать этот.