Если-бы он ещё не был дырой в безопасности системы. »
В смысле?
Так и SSH "дырой" назвать можно.

Ограничьте подключение к портам службы со сторонних адресов и не разглашайте пароли.

Вы его исходный код посмотрите.

Вы его исходный код посмотрите. »
Со всем уважением хочу сказать вам, что такое "кидание понтов" крайне непродуктивно.
Если есть конкретные претензии по реализации конкретных модулей - пожалуйста, поделитесь с нами информацией.

И вряд-ли требуется супер-пупер безопасность.

http://forum.antichat.ru/thread38423.html

да и вообще, достаточно вбить в поисковике "exploit webmin".
1. сидит на открытом порту
2. работает с правами root
3, требует только пароль.

Вообще-то /var/spool используется для хранения неких промежуточных данных. В частности указанный каталог используется для хранения исходящих писем, подготовленных к отправке.
Проверьте логи почты (особенно mail.err и mail.warn), скорее всего в процессе отправки или локальной доставки происходят какие-то ошибки. »
mail.err:
2015-02-25T10:39:57.744085+03:00 linux-0eu1 postfix/postfix-script[222492]: fatal: the Postfix mail system is not running
Тут всё понятно.

mail.warn:
2015-02-25T10:39:57.744085+03:00 linux-0eu1 postfix/postfix-script[222492]: fatal: the Postfix mail system is not running
2015-02-25T10:39:58.420812+03:00 linux-0eu1 postfix/postfix-script[222564]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-02-25T10:39:58.431743+03:00 linux-0eu1 postfix/postfix-script[222565]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-02-25T10:39:58.450950+03:00 linux-0eu1 postfix/postfix-script[222567]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-02-25T10:39:58.461782+03:00 linux-0eu1 postfix/postfix-script[222568]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
2015-02-25T12:22:20.015766+03:00 linux-0eu1 postfix/postfix-script[3387]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-02-25T12:22:20.035501+03:00 linux-0eu1 postfix/postfix-script[3388]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-02-25T12:22:20.071413+03:00 linux-0eu1 postfix/postfix-script[3390]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-02-25T12:22:20.092336+03:00 linux-0eu1 postfix/postfix-script[3392]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
2015-02-26T09:48:55.215518+03:00 linux-0eu1 postfix/postfix-script[53952]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-02-26T09:48:55.227399+03:00 linux-0eu1 postfix/postfix-script[53953]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-02-26T09:48:55.243520+03:00 linux-0eu1 postfix/postfix-script[53955]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-02-26T09:48:55.256749+03:00 linux-0eu1 postfix/postfix-script[53956]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
2015-02-26T10:04:35.467884+03:00 linux-0eu1 postfix/postfix-script[54707]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-02-26T10:04:35.478852+03:00 linux-0eu1 postfix/postfix-script[54708]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-02-26T10:04:35.495790+03:00 linux-0eu1 postfix/postfix-script[54710]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-02-26T10:04:35.506403+03:00 linux-0eu1 postfix/postfix-script[54711]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
2015-02-26T10:06:16.835353+03:00 linux-0eu1 postfix/postfix-script[54900]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-02-26T10:06:16.847764+03:00 linux-0eu1 postfix/postfix-script[54901]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-02-26T10:06:16.862511+03:00 linux-0eu1 postfix/postfix-script[54903]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-02-26T10:06:16.873515+03:00 linux-0eu1 postfix/postfix-script[54904]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
2015-03-02T05:04:19.902908+03:00 localhost postfix/postfix-script[3380]: warning: not owned by group maildrop: /usr/sbin/postqueue
2015-03-02T05:04:19.931903+03:00 localhost postfix/postfix-script[3382]: warning: not owned by group maildrop: /usr/sbin/postdrop
2015-03-02T05:04:19.969619+03:00 localhost postfix/postfix-script[3384]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postqueue
2015-03-02T05:04:19.999583+03:00 localhost postfix/postfix-script[3385]: warning: not set-gid or not owner+group+world executable: /usr/sbin/postdrop
И что мне с этим делать? Сделать эти два файла исполняемыми?
А каталоги пользователей задаются в файле /etc/passwrd »
Тут всё в порядке. Задан задуманный каталог.
Буду ковырять ещё Postfix.

И что мне с этим делать? Сделать эти два файла исполняемыми? »
Ээээ...
Судя по всему, исполняемые файлы почтовой системы у вас не совсем исполняемые :)
Покажите их разрешения (команда ls -la /полный/путь/к/файлу ).

Также покажите, от какого имени пользователя запускаются почтовые службы. В том числе дочерние программы
Как следствие, этот пользователь должен иметь права доступа к каталогу /var/spool/mail

spaser@linux-0eu1:~> ls -la /usr/sbin/postdrop
-rwxr-xr-x 1 root root 15008 сен 25 22:13 /usr/sbin/postdrop
spaser@linux-0eu1:~> ls -la /usr/sbin/postqueue
-rwxr-xr-x 1 root root 19072 сен 25 22:13 /usr/sbin/postqueue

Также покажите, от какого имени пользователя запускаются почтовые службы. »
Где это глянуть?

Должно быть для обоих файлов:
-rwxr-sr-x 1 root maildrop