Целесообразно ли конфигурировать виртуальных пользователей в Postfix?

Question

[Warfare Noise]

Приветствую,

Встала задача настроить маленький почтовый сервер, для одного домена и пары-тройки пользователей, в качестве MTA/MDA будут использоваться Postfix и Dovecot. Также Dovecot будет заниматься SASL аутентификацией пользовательских аккаунтов. И тут возникает два вопроса:
1. Стоит ли конфигурировать виртуальных пользователей для Postfix, или в данном случае можно обойтись использованием UNIX аккаунтов? Рост числа пользователей вряд ли произойдет когда-либо (как и количество обслуживаемых доменов).
2. В чем преимущество хранения виртуальных пользовательских аккаунтов в базе данных, например MySQL, кроме удобства обслуживания при постоянно изменяющейся структуре пользовательских аккаунтов? Особенно в контексте безопасности, что немаловажно.

Заранее спасибо.

Answer 1

[Сергей]

1. Правильно будет использовать виртуальных пользователей - из соображений безопасности. Меньше шансов что вас поломают.
2. Да никакого особого преимущества в MySQL нет, тем более когда список пользователей у вас небольшой. Но если смотреть в перспективу, то лучше использовать базу данных.

Comments

[Warfare Noise]

В таком случае список "доменов" (напомню что домен один) и карту алиасов хранить также в БД?

[Alex Chistyakov]

А как шансы на то, что поломают связаны с виртуальностью пользователей? Чем вектора атаки в случае, если пользователи виртуальны, отличается от векторов атаки, если пользователи невиртуальны, но им запрещен логин в консоль?

[Сергей]

@alexclear Допустим подобрали пароль к виртуальному аккаунту - при этом не будет доступа к локальной системе.

@powerthrash а почему бы и нет? С другой стороны можно и в файлах, смотря как вам удобнее.

[Alex Chistyakov]

@bk0011m если у пользователя вместо шелла стоит /sbin/nologin в /etc/passwd, то подбирать пароль можно сколько угодно - доступа к локальной системе это не даст.

[Warfare Noise]

А если /bin/false?

[Сергей]

@alexclear Согласен. Но допустим прошло какое-то время. Вы привыкли.. и однажды забыли указать /sbin/nologin
Или допустим ваш напарник забыл, или не знал.
Лучше сразу не привыкать так делать.

[Alex Chistyakov]

@powerthrash А у Вас в системе /bin/false есть в /etc/shells? У меня вот нет - неаккуратненько будет.

[Warfare Noise]

@alexclear Нету. Замечу, что по умолчанию в Debian для аккаунтов с запретом логина в шелл, ставиться именно /bin/false.

[Alex Chistyakov]

@powerthrash Я подозреваю, если написать туда любую другую программу, которая не является шеллом - результат будет таким же. Если написать просто набор букв и цифр - результат будет таким же. Но вот если программно заводить пользователей, указывая в качестве шелла что-то, чего нет в /etc/shells - может получиться не очень хорошо. И редхэтовский стандарт - это именно /sbin/nologin.

[Warfare Noise]

@bk0011m С другой стороны, в данном случае, проще научить себя и напарника ставить таки /sbin/nologin, чем поддерживать СУБД в виде ненужного оверхеда, для задач двух-трех пользователей.

[Warfare Noise]

@alexclear Так в Debian и /sbin/nologin в /etc/shells также нет :)

[Сергей]

@powerthrash Не проще. Люди иногда увольняются, всех обучать жизни не хватит. Впрочем, на вкус и цвет. Если Вам так удобнее - я не против.

[Alex Chistyakov]

@powerthrash Ну - обходятся как-то без этого, значит :)

[Warfare Noise]

А что насчет виртуальных пользователей, алиасов и доменов, но без использования MySQL и вообще SQL? Какие есть варианты?

[Сергей]

@powerthrash в файлы? не?