[Support] E-Mail und SSH Probleme

[Paul Hink]

Karl Reichert <support-hostsharing at on-topic.de> wrote:

> * Paul Hink <email at p-hink.de> schrieb am Tue, 25 Sep 2007 16:07:15 +0200

> > > da seit heute keine E-Mails mehr ankommen und das einwählen per
> > > SSH und 'pubkey' nicht mehr funktioniert?
> > 
> > Im Mail-Logfile von h03 sind für heute mehrere eingehende E-Mails
> > an rei00-doms verzeichnet, der User rei00-doms hat sich heute
> > mehrfach eingeloggt und die ~/.ssh/authorized_keys-Datei des
> > Accounts wurde anscheinend heute noch verändert. Warst das alles
> > nicht du oder ein anderer autorisierter Nutzer des Accounts? Dann
> > wende dich ggf. bitte mal an service at .
> 
> Doch ich habe die Datei 'authorized_keys' nochmal überprüft und den
> pubkey neu eingespielt, was das Problem aber nicht gelöst hat.

Achso, d.h. du kannst dich "nur" nicht per Keypair-Authentication per
SSH einloggen, wohl aber unter Angabe deines Passworts? Dann habe ich
deine erste E-Mail zu diesem Thema in diesem Punkt falsch verstanden.

> Zu E-Mail:
> Die E-Mails werden im Account rei00-doms per procmail an weitere User
> verteilt. Die Mails sind zwar jetzt unter rei00-doms verfügbar aber
> ohne die Verteilung von procmail. An der Datei 'forward' und
> 'procmailrc' habe ich definitv nichts verändert. Laut procmaillog
> funktioniert das Ganze bis gestern 18.16 h. Danach nicht mehr.

Das Problem in beiden Fällen sind höchstwahrscheinlich die Rechte des
Homedirectories von rei00-doms:

| h03:~# ls -lad ~rei00-doms
| drwxrwx---  12 rei00-doms httpd 4096 2007-09-25 20:28 /home/pacs/rei00/users/doms
| h03:~#

Die Schreibrechte für die Gruppe sind der Knackpunkt. Sowohl sshd wie
auch procmail stufen deswegen ihre unterhalb dieses Verzeichnisses
liegenden Konfigurationsdateien als nicht vertrauenswürdig ein:

Im Falle des sshds zeigt sich das im Syslog:

| Sep 25 20:29:22 h03 sshd[4810]: Authentication refused: bad ownership or modes for directory /home/pacs/rei00/users/doms

Und procmail teilt einem das so mit:

| h03:~# sudo -u rei00-doms procmail
| ^D
| procmail: Suspicious rcfile "/home/pacs/rei00/users/doms/.procmailrc"
| procmail: Couldn't read "/home/pacs/rei00/users/doms/.procmailrc"
| h03:~#

Die procmail-Manpage sagt dazu:

| DIAGNOSTICS

| [...]

|     Suspicious rcfile "x"  The owner of the rcfile was not the
|                            recipient or root, the file was world
|                            writable, or the directory that contained
|                            it was world writable, or this was the
|                            default rcfile ($HOME/.procmailrc) and
|                            either it was group writable or the
|                            directory that contained it was group
|                            writable (the rcfile was not used).

Paul