Discussion:
exim is not invalidated - ernste warnung?
(zu alt für eine Antwort)
Boris Sicking
2011-08-05 05:47:20 UTC
Permalink
Hallo,

ich habe gerade eben Eisfair2 1.7.2 installiert, und anschliessend das
Mailpaket (1.10.1 stable). Nachdem ich es nun konfiguriert habe,
erscheint nach dem starten die Warnung:

Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!

...woher kommt das? Kann man am user exim in der Mailkonfiguration
ausversehen einen Fehler einbauen? Oder wurde der User bewusst geändert
und diese Warung hat keine weiteren Auswirkungen?
Juergen Edner
2011-08-05 07:23:57 UTC
Permalink
Hallo Boris,
Post by Boris Sicking
ich habe gerade eben Eisfair2 1.7.2 installiert, und anschliessend das
Mailpaket (1.10.1 stable). Nachdem ich es nun konfiguriert habe,
Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!
...woher kommt das? Kann man am user exim in der Mailkonfiguration
ausversehen einen Fehler einbauen? Oder wurde der User bewusst geändert
und diese Warung hat keine weiteren Auswirkungen?
es wird doch keine Warnung ausgegeben wenn dies keine Auswirkung hätte!

Du hast dem Systemaccount 'exim' ein Kennwort verpasst, welches man
zum Einloggen auf Deinem Rechner verwenden kann. Da der Account aber
nur zum Starten des Prozesses benötigt wird ist kein Kennwort notwendig.
Du kannst über setup -> User administration den Account 'exim' auswählen
und dann mittels der Funktion 'Invalidate Password' ein vorhandenes
Kennwort deaktivieren.

Gruß Jürgen
--
Mail: ***@eisfair.org
Boris Sicking
2011-08-05 08:52:43 UTC
Permalink
Du hast dem Systemaccount 'exim' ein Kennwort verpasst, welches man zum
Einloggen auf Deinem Rechner verwenden kann.
Danke schonman.

Ich hatte Eisfair2 ganz frisch installiert, und danach lediglich Mail
nachinstalliert (und eben die Abhänigkeiten dazu). Natürlich habe ich
User erstellt, aber keinen user exim in der Userverwaltung bewusst
geändert. Daher wundert es mich ja. Allerdings trampelten eine Katze
während der Konfiguration über meine Tastatur - es ist also nichts
auszuschliessen.

Das Passwort habe ich nun so wie du geschrieben hast geändert. Der user
exim ist in der Gruppe "trused", ist das so in Ordnung?
Juergen Edner
2011-08-05 08:52:37 UTC
Permalink
Hallo Boris,
Allerdings trampelten eine Katze während der Konfiguration über
meine Tastatur - es ist also nichts auszuschliessen.
eine Hacker-Katze - geil :-)
Das Passwort habe ich nun so wie du geschrieben hast geändert. Der user
exim ist in der Gruppe "trused", ist das so in Ordnung?
Dies ist ok.

Gruß Jürgen
--
Mail: ***@eisfair.org
Marcel Weiler
2011-08-05 09:50:18 UTC
Permalink
Hi Jürgen,
Post by Juergen Edner
Post by Boris Sicking
ich habe gerade eben Eisfair2 1.7.2 installiert, und anschliessend das
Mailpaket (1.10.1 stable). Nachdem ich es nun konfiguriert habe,
Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!
...woher kommt das? Kann man am user exim in der Mailkonfiguration
ausversehen einen Fehler einbauen? Oder wurde der User bewusst geändert
und diese Warung hat keine weiteren Auswirkungen?
es wird doch keine Warnung ausgegeben wenn dies keine Auswirkung hätte!
Du hast dem Systemaccount 'exim' ein Kennwort verpasst, welches man
zum Einloggen auf Deinem Rechner verwenden kann. Da der Account aber
nur zum Starten des Prozesses benötigt wird ist kein Kennwort notwendig.
ich muss Boris leider zustimmen. Da muss es einen Bug geben.
Denn auf sämtlichen e2 Servern mit Mailpaket habe ich auch dieses
Problem. Und ich hab da ganz sicher kein Passwort gesetzt.
Habe mich bisher nicht weiter darum gekümmert, da das eh alles interne
Server sind. Aber das sollte dann wohl trotzdem mal langsam gecheckt
bzw. behoben werden.
Post by Juergen Edner
Du kannst über setup -> User administration den Account 'exim' auswählen
und dann mittels der Funktion 'Invalidate Password' ein vorhandenes
Kennwort deaktivieren.
Habe ich bei meinen Servern jetzt mal händisch gemacht. Aber vielleicht
kann man da ja fürs nächste Update einen Automatismus einbauen, der das
dann erledigt.
Post by Juergen Edner
Gruß Jürgen
Gruß
Marcel
Marcel Weiler
2011-08-05 10:34:18 UTC
Permalink
Hi Jürgen,
Post by Marcel Weiler
Habe ich bei meinen Servern jetzt mal händisch gemacht.
bei den "Send-Only" Configs gabs dabei keine Probleme.
Bei einem anderen Server, bei dem auch fetchmail usw. aktiv ist,
kam diese Meldung nach Beendigung des Setups:

finished.
starting SMTP server ...
starting SSMTP server ...
starting fetchmail daemon ...
Your account has expired; please contact your system administrator
su: User account has expired
(Ignored)
Press ENTER to continue

Scheint aber sonst alles soweit zu laufen.

Gruß
Marcel
Marcel Weiler
2011-08-05 12:08:06 UTC
Permalink
Hi Jürgen,

noch ein kleiner Nachtrag:

Auf dem eben genannten Server war noch die Version 1.10.4
installiert. Habe dann eben das Update auf 1.10.5 gemacht
und siehe da, da is doch die altbekannte Meldung wieder:

Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!

Hat der Installer da jetzt wieder ein Passwort gesetzt?

Gruß
Marcel
Juergen Edner
2011-08-05 18:20:00 UTC
Permalink
Hallo Marcel,
Post by Marcel Weiler
Auf dem eben genannten Server war noch die Version 1.10.4
installiert. Habe dann eben das Update auf 1.10.5 gemacht
Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!
Hat der Installer da jetzt wieder ein Passwort gesetzt?
danke für dne erneuten Hinweis. Da ich im Mailpaket auf Systemskripte
zurückgreife, vermute ich dass eisfair2-spezifische Anpassungen in den
beiden Skripten /var/install/bin/add-user und /var/install und
bin/modify-user bei einem System-Update überschrieben wurden. Ich schaue
mir dies einmal an.

Gruß Jürgen
--
Mail: ***@eisfair.org
Holger Bruenjes
2011-08-05 21:23:58 UTC
Permalink
Hallo Marcel
Post by Boris Sicking
Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!
Hat der Installer da jetzt wieder ein Passwort gesetzt?
ehmm, was steht denn zu dieser Zeit in shadow?

getent shadow exim

Holger
Marcel Weiler
2011-08-06 10:31:44 UTC
Permalink
Hi Holger,
Post by Holger Bruenjes
Post by Boris Sicking
Warning: Attention, password of user 'exim' is not invalidated anymore!
: This might be a security leak!
Hat der Installer da jetzt wieder ein Passwort gesetzt?
ehmm, was steht denn zu dieser Zeit in shadow?
Holger
Gruß
Marcel
Holger Bruenjes
2011-08-06 11:53:42 UTC
Permalink
Hallo Marcel
hmm
joo, dann ist gelockt

was fuer eine add-user hast Du denn auf dem System

sollte so aussehen
$Id: add-user 26057 2010-09-27 21:32:58Z hbfl $

Holger
Marcel Weiler
2011-08-06 12:15:37 UTC
Permalink
Hi Holger,
Post by Holger Bruenjes
was fuer eine add-user hast Du denn auf dem System
sollte so aussehen
$Id: add-user 26057 2010-09-27 21:32:58Z hbfl $
jo, das passt:

# Last Update: $Id: add-user 26057 2010-09-27 21:32:58Z hbfl $

Wird wohl wirklich irgendwie damit zusammenhängen, das es da
Unterschiede zwischen e1 und e2 gibt.
Post by Holger Bruenjes
Holger
Gruß
Marcel

Loading...