Jakou distribuci pouzit pro bezpecny system ?
Jan Kasprzak
kas na informatics.muni.cz
Čtvrtek Červen 19 17:20:17 CEST 1997
Milan Zamazal pise:
: >>>>> "MU" == Matus Uhlar <uhlar na ccnews.ke.sanet.sk> writes:
:
: -: sendmail je z bezpecnostniho hlediska velmi spatny program.
:
: MU: To je tazke povedat... niekomu moze vadit ze implicitne pusta
: MU: akekolvek posty. skuste si predstavit tahat 5MB cez UUCP zato
: MU: ze sa niekto zabaval. Kazdy by si mal pozriet implicitnu
: MU: konfiguraciu a nastavit si ju na seba. niektore veci skratka
: MU: chce kazdy inac.
:
: Nic proti, ale jako implicitni chovani bych ocekaval neco jako ze tyto
: maily sice neodesle, ale ulozi je nekam bokem a posle o tom mail
: postmasterovi.
Moznost denial-of-service attacku. Za spravne chovani bych povazoval
zahodit mail a poslat hlavicky zpet odesilateli a kopii postmasterovi.
: jednalo se o upgrade systemu, ktery jsem zdedil po svem
: predchudci, a nemohu zcela zarucit, ze toto chovani neni nekde
: nastaveno.
Typicky je v sendmailu nastavena max. velikost mailu, ktery
projde kazdym mailerem. U uucp v implicitni konfiguraci je to myslim
100kB, ve zminovane konfiguraci to bylo zvyseno na 1MB.
: Napriklad to, ze clovek je schopen bez nekolikadenni namahy stavajici
: konfiguraci projit a spravne pochopit, jak asi vse funguje.
Za jeden den to bezny administrator musi zvladnout vcetne
prostudovani op.me. Navic muzes testovat jednotlive rulesety
pomoci -bt, takze mas praci jeste vice zjednodusenou a nemusis to zkouset
"nasucho".
: MM: Ja si radeji vyberu program, ktery da praci nakonfigurovat,
: MM: ale je opravdu schopny a flexibilni, nez takovy, jenz je
: MM: "Maintentance free" s typickym vyznamem "When it breaks, it
: MM: cannot be fixed."
:
: Ja take nehoruji pro Windoze, pouze jsem tvrdil, ze sendmail neni
: z bezpecnostniho hlediska dobry program. Ani mi nejde o "maintenance
: free", nybrz o "maintenance friendly", tj. "when it breaks, it can be
: easily fixed".
... coz podle meho nazoru neni pripad qmailu, zatimco sendmailu
i zmaileru ano. Zatim jsem se zmaileru moc nevenoval, takze momentalne
rozumim vic konfiguraci sendmailu (BTW: nevim, co se vam na tech
nadhernych kontextovych prepisovacich pravidlech nelibi ...).
Ale rozhodne sendmail i zmailer umi vic nez qmail (ktery ma navic tu nevyhodu,
ze musim hlidat o dalsich pet accountu navic).
-Yenya
--
\ Jan "Yenya" Kasprzak <kas at fi.muni.cz> http://www.fi.muni.cz/~kas/
\\ PGP: finger kas at aisa.fi.muni.cz 0D99A7FB206605D7 8B35FCDE05B18A5E //
\\\ Czech Linux Homepage: http://www.fi.muni.cz/~kas/linux/ ///
/// die_if_kernel("Penguin instruction from Penguin mode??!?!", regs); \\\
// -- from linux/arch/sparc64/kernel/traps.c \\
Další informace o konferenci Linux