Jakou distribuci pouzit pro bezpecny system ?

Jan Kasprzak kas na informatics.muni.cz
Čtvrtek Červen 19 17:20:17 CEST 1997 

Milan Zamazal pise:
: >>>>> "MU" == Matus Uhlar <uhlar na ccnews.ke.sanet.sk> writes:
: 
:     -: sendmail je z bezpecnostniho hlediska velmi spatny program.
: 
:     MU: To je tazke povedat... niekomu moze vadit ze implicitne pusta
:     MU: akekolvek posty. skuste si predstavit tahat 5MB cez UUCP zato
:     MU: ze sa niekto zabaval.  Kazdy by si mal pozriet implicitnu
:     MU: konfiguraciu a nastavit si ju na seba.  niektore veci skratka
:     MU: chce kazdy inac.
: 
: Nic proti, ale jako implicitni chovani bych ocekaval neco jako ze tyto
: maily sice neodesle, ale ulozi je nekam bokem a posle o tom mail
: postmasterovi.

	Moznost denial-of-service attacku. Za spravne chovani bych povazoval
zahodit mail a poslat hlavicky zpet odesilateli a kopii postmasterovi.

: jednalo se o upgrade systemu, ktery jsem zdedil po svem
: predchudci, a nemohu zcela zarucit, ze toto chovani neni nekde
: nastaveno.

	Typicky je v sendmailu nastavena max. velikost mailu, ktery
projde kazdym mailerem. U uucp v implicitni konfiguraci je to myslim
100kB, ve zminovane konfiguraci to bylo zvyseno na 1MB.

: Napriklad to, ze clovek je schopen bez nekolikadenni namahy stavajici
: konfiguraci projit a spravne pochopit, jak asi vse funguje.

	Za jeden den to bezny administrator musi zvladnout vcetne
prostudovani op.me. Navic muzes testovat jednotlive rulesety
pomoci -bt, takze mas praci jeste vice zjednodusenou a nemusis to zkouset
"nasucho".

:     MM:    Ja si radeji vyberu program, ktery da praci nakonfigurovat,
:     MM: ale je opravdu schopny a flexibilni, nez takovy, jenz je
:     MM: "Maintentance free" s typickym vyznamem "When it breaks, it
:     MM: cannot be fixed."
: 
: Ja take nehoruji pro Windoze, pouze jsem tvrdil, ze sendmail neni
: z bezpecnostniho hlediska dobry program.  Ani mi nejde o "maintenance
: free", nybrz o "maintenance friendly", tj. "when it breaks, it can be
: easily fixed".

	... coz podle meho nazoru neni pripad qmailu, zatimco sendmailu
i zmaileru ano. Zatim jsem se zmaileru moc nevenoval, takze momentalne
rozumim vic konfiguraci sendmailu (BTW: nevim, co se vam na tech
nadhernych kontextovych prepisovacich pravidlech nelibi ...).
Ale rozhodne sendmail i zmailer umi vic nez qmail (ktery ma navic tu nevyhodu,
ze musim hlidat o dalsich pet accountu navic).

-Yenya

--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz>       http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz   0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\      Czech Linux Homepage:  http://www.fi.muni.cz/~kas/linux/        ///
///  die_if_kernel("Penguin instruction from Penguin mode??!?!", regs);  \\\
//                            -- from linux/arch/sparc64/kernel/traps.c   \\

Další informace o konferenci Linux