On Thu, Apr 18, 2002 at 06:55:50PM +0200, Holger Reinmann wrote: > > ich baue mir gerade einen Mailserver der mittels fetchmail die Mails der > einzelnen User im Netzwerk abruft. Ich habe eine .fetchmailrc im Home- > Verzeichnis von root erstellt, in der die einzelnen Mailboxen der User > stehen. > Fetchmail wird mittels cron alle 15 Minuten als User root ausgefuehrt. > Es laeuft auch alles Prima nur weiss ich nicht ob das ein sicherheits > Risiko darstellt.
In /usr/share/doc/fetchmail-common/README.Debian.gz bei Woodys fetchmail hei�t es: Fetchmail and security: Don't run fetchmail as root if you can help it. Fetchmail does a lot of manipulation on untrustable data (e.g.: email headers) and has had buffer overflow security holes fixed in that area. Nobody knows how many of those are still left. The safest way to run fetchmail is to run it as an unpriviledged user (e.g. using the system-wide fetchmail facility described below, and the "fetchmail" user), delivering through SMTP. This is Debian's default configuration. N�heres kannst Du ja dort nachlesen. Bei l�uft es auch entsprechend. Benutzt wird dann kein /root/.fetchmailrc, sondern ein /etc/fetchmailrc: $ l /etc/fetchmailrc -rw------- 1 fetchmai root 194 Mar 23 16:10 /etc/fetchmailrc -- marko schulz Diese Mail ist auf Grund von ideologischer Verblendung nach den Regeln der herk�mmlichen Rechtschreibung erstellt. Wer verbleibende Fehler findet, darf sie behalten oder sammeln, bis sie ein L�sungswort ergeben. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
