Я часто вижу руководства по настройке Postfix с агентом доставки виртуального почтового ящика в Linux, которые инструктируют создать нового пользователя и группу с отключенным входом для владения виртуальными почтовыми ящиками в /home/example_username. Это, конечно, имеет смысл и является жизнеспособным вариантом.
В примере виртуального почтового ящика в документации Postfix он использует следующие настройки, но не обсуждает, какие пользователи были созданы, если таковые имеются:
http://www.postfix.org/VIRTUAL_README.html#virtual_mailbox
/etc/postfix/main.cf
virtual_mailbox_base = /var/mail/vhosts
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
Debian по умолчанию включает mail пользователь и группа, uid 8 и гид 8, с домашним каталогом /var/mail. Есть ли причина не использовать этого пользователя и группу для владения виртуальными почтовыми ящиками? Возможно, корректируя приведенный выше пример следующим образом. Я знаю суть virtual_minimum_uid должен быть механизмом безопасности для предотвращения записи почты в конфиденциальные файлы, но если uid и gid определены как статические записи, есть ли опасность в использовании этой настройки?
/etc/postfix/main.cf
virtual_mailbox_base = /var/mail/vhosts
virtual_minimum_uid = 8
virtual_uid_maps = static:8
virtual_gid_maps = static:8
Да, есть веские причины, по которым Debian не использует uid 8 и gid 8 для Postfix.
Вы можете установить другие двоичные файлы, которые используют эти группы, и это теоретически может привести к проблемам с безопасностью, особенно если они запускают suid mail.
Postfix должен использовать собственные gid и uid по соображениям безопасности, точка.