* Django [BOfH] django@nausch.org:
Heyho Patrick,
Ich hab in meiner main.cf folgendes stehen: # Django : 2014-10-19 - EDH Server support # http://www.postfix.org/FORWARD_SECRECY_README.html # Definition des 512 bit Schlüssels (export ciphers) # für die obsoleten „Export“-Ciphers und des 2048-bit # (non export ciphers) Schlüssels für all die anderen # EDH Cipher Suits. # default: smtpd_tls_dh512_param_file = # smtpd_tls_dh1024_param_file = smtpd_tls_dh1024_param_file = /etc/pki/tls/private/dh_2048.pem smtpd_tls_dh512_param_file = /etc/pki/tls/private/dh_512.pem
Wann genau lädt der Postfix 2.11. eigentlich diese beiden Dateien? Passiert das nur beim initialen Start des master-daemon oder immer dann wenn eine TLS-Verbindung initiiert wird?
Du weisst das doch sicherlich, oder? ;)
Zertifikat und Key werden einmalig beim Start einer Instanz (smtpd,smtp,lmtp) als user 'root' geladen. Sie verbleiben persistent im RAM wo der user 'postfix' sie dann auch lesen kann. Sie sind dort solange bis der Prozess terminiert.
Anders ist das beim Laden von CA-Zertifikaten. Hier hast Du zwei Möglichkeiten über ..._CAfile oder ..._CApath:
..._CAfile Alle Zertifikate konkateniert in einer Datei. Wird wie oben beim Start geladen und ist persistent. Das ist gut für chroot().
..._CApath Alle Zertifikate in einem Verzeichnis. Sie werden bei jeder TLS-Anfrage über index-Links im Dir durchsucht und dann das passende Zertifikat geladen. Das ist nicht gut für chroot() denn die Zertifikate müssten dazu im chroot() liegen und wären somit für einen Angreifer im chroot() erreichbar.
p@rick