fetchmail nicht als "root"-User laufen lassen - wie mache ich das auf einer Synology

zaubi4u · 20. Jan 2013

@oj69,

danke für Dein Kochrezept. Konnte ich bis auf Punkt 4 soweit nachvollziehen. In der start-stop-status Datei von Zarafa wir der Aufruf von fetchmail mit

Rich (BBCode):

 if [ "$FETCHMAIL_ENABLED" = "TRUE" ]; then
                /usr/local/zarafa/etc/init.d/fetchmail start

angegeben. Hast Du da die Änderung eingefügt in der Form von "su fetchmail -c" "/usr/local/zarafa/etc/init.d/fetchmail start"" oder anders? Sorry bin jetzt mit den scripts noch nicht so bewandert und brauchte nochmal einen Anstoss

Gruß Micha

Anzeige · 13. Apr 2012

Hallo oj69,

Bücher und Hardware zum Thema gibt es bei Amazon: fetchmail nicht als "root"-User laufen lassen - wie mache ich das auf einer Synology

oj69 · 20. Jan 2013

Hallo Micha,

kein Problem

. Ersetze einfach die Zeile "/usr/local/zarafa/etc/init.d/fetchmail start" durch "su fetchmail -c "/usr/local/zarafa/etc/init.d/fetchmail start"". Nach einem Neustart von Zarafa läuft dann der fetchmail-Dienst als user "fetchmail" und nicht mehr als "root". Überprüfe das mittels "ps -ef | grep "fetchmail"".

Viel Erfolg !

Grüße

Oliver

zaubi4u · 23. Jan 2013

Hallo Oliver,

Danke für die Rückmeldung, hab Deine Anleitung jetzt bis zum Ende geführt. Anscheinend ist aber noch ein Fehler bezüglich nologin vorhanden.

beim Starten von fetchmail durch Zarafa steht da:

Code: su: can't run /sbin/nologin: Permission denied /Code

Stimmt hier die /etc/passwd noch nicht?

Code: fetchmail:x:1029:100::/var/services/homes/fetchmail:/sbin/nologin /Code

Oder liegt der Fehler woanders?

Danke fürs Drüberschauen

Gruß Micha

oj69 · 23. Jan 2013

zaubi4u schrieb:
Stimmt hier die /etc/passwd noch nicht?

Code: fetchmail:x:1029:100::/var/services/homes/fetchmail:/sbin/nologin /Code

Hallo Micha,

so wie es aussieht, hast Du tatsächlich einen Fehler in die /etc/passwd eingebaut. Bitte nochmals peinlichst genau prüfen. Als Beispiel für eine richtige Syntax kannst Du Dir einen anderen Systemuser nehmen, bei dem das auch so gemacht wird.

Gruß

Oliver

zaubi4u · 23. Jan 2013

Hallo Oliver,

der Eintrag für fetchmail wurde beim Anlegen des users im System so erzeugt und da das "nologin" dabei stand, wie in Punkt 2. Deiner Anleitung beschrieben, hab ich daran auch nix geändert.
Ich bekam jedoch den user fetchmail nicht ohne ein Passwort anzugeben angelegt. Könnte das der Grund sein, warum der Zugriff jetzt nicht erlaubt wird? Und wie lösche ich dass Passwort ggf. wieder?

Gruß Micha

oj69 · 23. Jan 2013

passwd -d fetchmail sollte helfen

zaubi4u · 23. Jan 2013

mein System sagt bei der Eingabe "passwd -d fetchmail": "passwd: not found" ???

Ich probiers mal über die Userverwaltung (da hab ich aus Sicherheitsgründen eine Mindestlänge fürs Passwort angegeben... die müsste sich ja rausnehmen lassen...)

Das hat geklappt, aber der Fehler ist immer noch da.

Gruß Micha

zaubi4u · 23. Jan 2013

habe festgestellt, dass unter /sbin keine datei nologin existiert.... Was nun? Bin jetzt ein wenig ratlos...

oj69 · 24. Jan 2013

Muss mal bei mir schauen. Hab jetzt aber leider keinen Synology-Zugriff ...

zaubi4u · 25. Jan 2013

Hi Oliver,

mach ganz in Ruhe, muss erst mal den Grund finden, warum fetchmail die eingehenden mails nicht an Zarafa sondern offensichtlich an Postfix weitergibt, wo nix eingerichtet ist für den mail Empfang (nur SMTP relay) und die mails da irgendwie verschwinden

Wenn ich diese Problem gelöst habe, werde ich mich nochmal der "root Problematik" widmen. Trotzdem Danke für Deine Hilfe

Gruß Micha

oj69 · 27. Jan 2013

Hallo Micha,

auf der Synology wurde kein Kommando "passwd" implementiert. Daher musst Du das Password des Benutzers über das Webinterface herausnehmen. Wegen Deinem Problem mit dem Mailempfang würde Dir empfehlen in der Installationsanweisung nochmals genau die Punkte bzgl. der Postfix-Anpassung durchzugehen. Offensichtlich wilst Du ja das Szenario "Zarafa mit eigener Domain" realisieren oder ?

Grüße

Oliver

major-tom · 28. Jan 2013

Hallo,

habe das nun auch versucht umzusetzen, aber leider klappts nicht ganz.
Fetchmail läuft nicht mehr als "root" sonder als user "fetchmail".
Das ist eigentlich gut so.
Aber emails können nicht mehr abgeholt werden.
es kommt immer folgende Fehlermledung:

Not enough permissions to append logfile '/var/log/zarafa/dagent.log'

Habe die Version 0.3.2 von Zarafa auf einer DS412+ am laufen.

Lg
Major

oj69 · 28. Jan 2013

Hallo Major-Tom,

habe die Anleitung unter der Version 0.2.5 geschrieben und erfolgreich mit 0.2.5 sowie 0.2.9 getestet. Mit der neuen Zarafa-Version ist meines Wissens nach auch eine neue Version von fetchmail eingespielt worden.Es kann daher gut möglich sein, dass diese nun auch in dagent.log schreiben möchte. Schau mal bitte nach wer der Besitzer der dagent.log ist. Ggf. müssen die Rechte für dagent.log so angepasst werden, dass auch der Benutzer fetchmail mit dieser arbeiten kann.

Grüße

Oliver

major-tom · 28. Jan 2013

Hallo Oliver,
An das habe ich eigentlich auch gedacht, aber leider vergessen zu schreiben.
Besitzer der dagent.log ist root.
habe aber ein chown fetchmail:users auf dagent.log gemacht, war ber erfolglos.

Lg
Major

oj69 · 28. Jan 2013

Ich habe gerade leider keinen Zugriff auf die Synology. Schau mal bitte nach, welche Dateiberechtigungen diese Logdatei hat. Evtl. musst Du hier etwas ändern. Hast Du die Prozesse auch neu gestartet, nachdem Du die Änderung vorgenommen hast ?

major-tom · 28. Jan 2013

Hallo,

-rw------- 1 root root 33140 Jan 28 11:57 dagent.log

Die Prozesse hab ich schon neu gestartet.

Lg
Major

p.s.

ich hatte den besitzer auf fetchmail:users geändert, habe es wieder zurück gestellt, damit ich mails empfangen kann...

oj69 · 28. Jan 2013

Tja, so wie die Dateiberechtigungen sind, darf nur der Benutzer "root" tätig werden

. Du musst also auch dem Benutzer "fetchmail" entsprechende Rechte geben (chmod 660 wenn ich mich nicht täusche

). Schau aber mal sicherheitshalber in die Datei rein. Nicht dass Du Dir durch das Öffnen für fetchmail evtl. ein Sicherheitsthema holst

major-tom · 28. Jan 2013

hi,

sowas in der art wird da mitgelogt:

Mon Jan 28 03:37:29 2013: [25107] Delivered message to 'major', Message-Id: <2119005290.945893135934068584$

aber wie meinst du sicherheitsthema? der user fetchmail darf ja eh nix, oder wird das mit chmod 660 und chown fetchmail für andere user auch beschreibbar?

Lg

jahlives · 28. Jan 2013

also mit chmod 0660 darf sicher auch jeder das File schreiben der zur Gruppe gehört. Da würde ich fetchmail zum Eigentümer der Datei machen und dann nur chmod 0600

oj69 · 28. Jan 2013

Moin, Du musst die Datei dagent.log auf 660 ändern und den Besitzer auf fetchmail:users. Probier das mal. Sollte gänzlich unkritisch sein. Wahrscheinlich scheint auch der Benutzer root in die Datei zu schreiben. Als letztes Mittel bleibt immer noch ein chmod 666

Sorry, dass ich Dir das so ad-hoc nicht sagen kann aber ganz ohne Zugriff auf meine Synology geht das eben nicht

. Probiere es einfach mal aus