From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <glas-sisyphus@m.gmane.org>
X-Injected-Via-Gmane: http://gmane.org/
To: sisyphus@lists.altlinux.org
From: Grigory Batalov <bga@altlinux.org>
Date: Fri, 2 Mar 2007 13:37:45 +0300
Organization: ALT Linux Team
Message-ID: <20070302133745.7135b445.bga@altlinux.org>
References: <20070301194302.6ce39df7.bga@altlinux.org>
	<20070301213354.GA21671@basalt.office.altlinux.org>
	<20070302012016.7fcb9f0f.bga@altlinux.org>
	<20070301224547.GB22504@basalt.office.altlinux.org>
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-Complaints-To: usenet@sea.gmane.org
X-Gmane-NNTP-Posting-Host: 195.19.240.20
X-Newsreader: Sylpheed version 0.9.10 (GTK+ 1.2.10; i586-alt-linux-gnu)
Sender: news <news@sea.gmane.org>
Subject: [sisyphus] Mailman groups (was: Postfix vs. aliases owner)
X-BeenThere: sisyphus@lists.altlinux.org
X-Mailman-Version: 2.1.9rc1
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@lists.altlinux.org>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sisyphus>
List-Post: <mailto:sisyphus@lists.altlinux.org>
List-Help: <mailto:sisyphus-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Fri, 02 Mar 2007 11:21:02 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/20070302133745.7135b445.bga@altlinux.org/>
List-Archive: <http://lore.altlinux.org/sisyphus/>
List-Post: <mailto:sisyphus@altlinux.ru>

On Fri, 2 Mar 2007 01:45:47 +0300, Dmitry V. Levin wrote:

> > > > Нормально ли, что письмо, полученное постфиксом, обрабатывается от имени
> > > > владельца aliases.cdb?
> > > 
> > > Цитирую local(8):
> > > 
> > > DELIVERY RIGHTS
> > > 	Deliveries to external files and external commands are made with
> > > 	the rights of the receiving user on whose behalf the delivery
> > > 	is made.  In the absence of a user context, the local(8) daemon
> > > 	uses the owner rights of the :include: file or alias database.
> > > 	When those files are owned by the superuser, delivery is made
> > > 	with the rights specified with the default_privs configuration
> > > 	parameter.
> > > 
> > > Таким это поведение было всегда.
> > > 
> > > А в чём, собственно говоря, проблема?
> > 
> >   Это я от неожиданности =). Уже разобрался, как быть.
> 
> И как же быть? ;)

  Этот файл (aliases.cdb) вероятнее всего будут создавать администраторы
  списков или root. Т.е. нужно разрешить запускать mail- и cgi-обработчики
  (у них внутри собственная проверка) группам mailmanadm и postman. Это просто.

  Но есть другая проблема.
  Консольному создателю списков нужен доступ на запись в /etc/mailman/aliases.
  У нас это реализовано группой mailmanadm и правами g+w. Однако, есть ещё
  cgi-программа для создания списков. Она запускается веб-сервером, например,
  apache, с битом SGID mailman, чтобы писать в логи и создавать файлы в
  /var/lib/mailman/lists/ и т.п. При этом она не может обновить aliases, т.к.
  группа этого файла - mailmanadm.

  С другой стороны, даже консольному админу нужно членство в группе mailman,
  т.к. он тоже хочет писать в /var/lib/mailman/lists/ . Консольные скрипты -
  это текст на питоне, так что SUID/SGID им не выставить.

  Пока что я склоняюсь упразднить группу mailmanadm, а админов включать
  в группу mailman.

-- 
 Grigory Batalov,
 ALT Linux Team