Problème de permissions e mot de passe visible à tous

Tags: #<Tag:0x00007f994591f178> #<Tag:0x00007f994591f088> #<Tag:0x00007f994591ef48>

Bonjour à tous,

J’ai un petit serveur VPS pour héberger plusieurs projets ainsi que des serveurs Minecraft.

Certains de ces serveurs ne sont pas à moi, et mes projets peuvent contenir des fails de sécurité plus ou moins graves, que je patch le plus vite possible quand elles sont découvertes.

Il y a quelques mois, un utilisateur des serveurs Minecraft m’a contacté pour me signaler une fail justement, celle-ci consiste à ouvrir un shell via le programme java. Jusqu’à làa rien de grave, je pensais avoir bien fait mes permissions.

Sauf que voilà, les fichiers de postfix ainsi que de dovecot sont en permissions 755 sous l’utilisateur postfix ou dovecot. Le problème, c’est que j’ai une configuration MySQL avec les mots de passes de la base de données. J’a donc tenté de changer ces permissions en 750 ou 700, mais quelles que soient les combinaisons de chiffres ou avec les rwx, postfix n’arrive plus à lire les fichiers de configuration si ils ne sont pas en 755 j’ai l’impression.

Donc deux solutions se proposent à moi : mettre les serveurs Minecraft sous docker, chiant, car il y en a plusieurs à passer sous docker et ça prendrait du temps.

Chercher comment régler les permissions de postfix. J’ai donc cherché sur Google, sans rien trouver, demandé à ChatGPT, pareil.

Donc, je me tourne vers vous pour avoir des solutions à mon problème,

Merci de vos réponses !

Peux-tu étayer tes propos ?
A quoi vois-tu que Postfix n’arrive plus à lire les fichiers de configuration ?

Si le fichier de configuration appartient à postfix et/ou dovecot et que ceux-ci sont dans le bon groupe alors ils peuvent le lire normalement avec des permissions régler en 640 (644 dans le cadre de l’utilisation des commandes sendmail via un user il faudra que le main.cf soit world readable).

Poste les permissions, les messages d’erreur etc … car pour l’instant rien de ce que tu dit nous indique ton problème.

Bien entendu rompre le fonctionnement correct d’un serveur de mail est anodin par rapport à la mise ne place d’un container docker à régler à sa convenance :wink:

Ce ne sont pas des exécutables (mais des fichiers de configuration, nul bit d’execution nécessaire) pourquoi du 755 et pas simplement du 644 ou du 640 ? quels tutoriels as-tu suivi pour avoir de tes permissions :confused:

A quoi vois-tu que Postfix n’arrive plus à lire les fichiers de configuration ?

Dans les logs du serveur mail (mail.log/mail.error/mail.warn) il y a plusieurs ligne quand je tente de lire les fichiers « Permissions Denied »
Je viens de mettre les permissions en 640 comme conseil, et visiblement je n’ai plus d’erreur très étrange.
C’était sur les deux fichiers virtual_mailbox_domains.cf & virtual_mailbox_domains.cf j’ai du me trompé de groupe la première fois. J’espère que ca va pas recassé

Bien entendu rompre le fonctionnement correct d’un serveur de mail est anodin par rapport à la mise ne place d’un container docker à régler à sa convenance :wink:

Ce n’est pas ce que j’ai voulu dire, j’ai environ 25 serveurs Minecraft, je ne connais pas grand chose à docker, donc juste changé les permissions des fichiers du serveur mail me semblait plus rapide :slight_smile:

Ce ne sont pas des exécutables (mais des fichiers de configuration, nul bit d’execution nécessaire) pourquoi du 755 et pas simplement du 644 ou du 640 ? quels tutoriels as-tu suivi pour avoir de tes permissions :confused:

Les postes stackoverflow qui disaient tous que par défaut le dossier de postfix était en 755… Mais effectivement vu que ce n’est pas des exécutable c’est con de mettre le bits d’exécutable

Le bit x ne signifie pas la même chose pour un dossier. Ça signifie grosso modo : ouvrable, dont le contenu est « listable ».

Techniquement, c’est un répertoire (index), pas un dossier (contenant).

Pas du tout. Pour lister le contenu d’un répertoire il faut le le bit « r », comme pour les fichiers. Le bit « x » sert à « traverser » le répertoire et accéder aux inodes de fichiers et sous-répertoires qu’il référence (je n’écris pas « contient » car un répertoire ne contient que des entrées de répertoire, pas des fichiers ni des sous-répertoires).

1 J'aime

Tout juste, j’ai répondu trop vite… Merci !
Traversable, c’est ce que j’avais en tête avec mon « ouvrable » [d’autant que, shame on me, je venais de relire la manpage pour vérifier la différence entre +x et +X :laughing: )
À côté de ça, entièrement d’accord pour faire un distinguo technique entre ‹ dossier › et ‹ répertoire ›, mais, à mon avis, il ne se justifie pas toujours : tout dépend du niveau d’abstraction auquel on se place [par exemple, je ne m’attends pas à avoir une liste d’inodes en sortie d’un ls, tout autant qu’inconsciemment j’identifie un nom listé avec le fichier qu’il représente – bien que j’aie une pleine conscience que « la carte n’est pas le territoire »].
C’est un vieux débat, et un peu pourri par la sémantique made in pom-pom et petit-mou :yum:

Toujours est-il que je te remercie de m’avoir corrigé.