Squirrelmail: podešavanje plugina "change_pass"

Squirrelmail je, kako smo već nekoliko puta napominjali, izuzetno popularan webmail sustav. Dio popularnosti duguje mnogim dodacima (pluginovima), koji proširuju mogućnosti samog Squirrelmaila. Pozabavit ćemo se dodatkom kojeg nema u standardnoj Debian distribuciji, ali dolazi u obliku CARNetovog paketa squirrelmail-change-pass-cn.

Ovaj dodatak omogućava korisniku da primijeni e-mail zaporku na sustavu, putem poppassd procesa, dakle na jednostavan i relativno siguran način. Pri tome ne mora poznavati naredbe Unix/Linux ljuske, što je najveća prednost.  Ukoliko to njegov e-mail klijent dopušta, može i njega upotrijebiti za promjenu zaporke.

Squirrelmail-change-pass-cn paket ovisi o dva paketa: squirrelmail-compatibility (omogućava kompatiblinost između različitih inačica dodataka i samog Squirrelmaila) i poppassd (servis koji omogućava promjenu zaporke).

Nakon instalacije paketa, servis poppassd će se pokrenuti preko xinetd superserver servisa, a sam dodatak će se instalirati i aktivirati unutar Squirrelmaila (ne morate ga ručno instalirati). Vaši korisnici će moći promijeniti zaporku, ako nakon prijave u Squirrelmail kliknu na "Postavke" (ili "Options"), te potom na "Change Password". Pri tome se u /etc/hosts.allow (libwrap mehanizam) dodaje da se poppasd servisu može pristupiti samo sa localhosta (dakle, zaporka se može promijeniti samo direktno preko Squirrelmaila), pa sigurnosnih problema ne bi smjelo biti.

Vrlo jednostavno, sigurno i efikasno rješenje.

No, kako se poppassd daemon vrti pod root korisnikom, moguće je zaobići određena ograničenja navedena u PAM (Pluggable Authentication Modules) sustavu. Primjerice, unos min=4 u /etc/pam.d/common-password:

password   required   pam_unix.so nullok obscure min=4 max=8 md5

određuje da zaporka mora biti dugačka najmanje 4 znaka (opcija max, za razliku, ne znači maksimalnu duljinu zaporke, nego duljinu zaporke nakon koje se dodatne provjere kompleksnosti ne vrše!). No, ove odredbe ne vrijede za root korisnika, pa tako ni za poppassd daemon. Korisnik će u ovom slučaju moći napraviti zaporku duljine manje od 4 znaka, pa čak i jedan znak. Ovo je određeni sigurnosni rizik, pa je potrebno onemogućiti pravljenje zaporki premale duljine.

Kako bi to napravili napravite datoteku (ako već ne postoji) /usr/share/squirrelmail/plugins/change_pass/config.php
sa sadržajem:

    #$poppass_server = 'localhost';
#$poppass_port = 106;

$min_pass_length = 8;
$max_pass_length = 9999999;

Ova datoteka već postoji kao config_example.php u istom direktoriju, pa je možete jednostavno preimenovati i promijeniti. Jedina varijabla koju trebate promijenti je $min_pass_length, za čiju vrijednost preporučujemo da stavite 8. Nakon ovoga, korisnici neće moći kreirati zaporke kraće od osam znakova. Nikakav restart apache2 procesa nije potreban, a u logovima (/var/log/syslog) ćete u slučaju da korisnik pokuša staviti prekratku zaporku moći vidjeti:

Jan 27 10:57:00 server poppassd[6145]: PAM error: BAD PASSWORD:
it is WAY too short

U suprotnom, kad je sve u redu, moći ćete vidjeti samo obavijest:

Jan 27 11:01:36 server poppassd[6595]: changed POP3 password for korisnik

Druge promjene ne morate raditi. U dokumentaciji potražite više, ako uopće ima što više za znati...

 

Kuharice: 
Kategorije: 
Vote: 
5
Vaša ocjena: Nema Average: 5 (1 vote)