Konfigurace sendmail na Firewallu
Petr Novotny
Petr.Novotny na antek.cz
Pondělí Listopad 8 11:49:02 CET 1999
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 8 Nov 99, at 11:32, Jan Satko wrote:
> > Ale ja nerikam, ze sendmail je spatny program. Ja pouze rikam, ze
> > 1. vyuzijete nejvys tak 10% toho, co umi
> > 2. zbyvajicich 90% je tezko se zbavovat
>
> Nuz neviem neviem. Od toho mate predsa konfiguracny subor.
> Ako si ho nastavite je vasa vec.
A vy rozumite te explozi v tovarne na interpunkci na konci
sendmail.cf? :-)
> Od toho su pouzsivatelia aby nejaku nasli ak je. Zatila neviem skoro o
> ziadnej.(skoro- jedna vec mi blbne, ale mozno robim nieco zle)
Nikdy jsem nerikal, ze 8.9.3 je deravy. Nejspis je z existujicich
sendmailu ten nejmene deravy. Ovsem historie rika, ze v sendmailu
vzdycky nejaky root-exploit byl. Je to otazka duvery - uz to
tentokrat programatori napsali spravne?
> 4. a
> navic to vse bezi pod uid 0 - proc?
>
> Myslim ze aj qmail musi mat uid0.
> 1. musi vediet obsadit port 0-1024
Na to je potreba root jen na okamzik pri startu (tj. jeste driv, nez se
zacne qmail s kymkoliv bavit). Navic lze pouzit treba inetd. Vam
bezi BIND jako root?
> 2. aby mohol do queue davat iba root.
Proc? Je vyhrazeny uzivatel, ktery do queue umistuje. Proc root?
Co je spatneho na neprivilegovanem uzivateli qmailq (a skupine
qmail)?
> 3. prehadzovat si prava na inych uzivatelov.(setuid bez roota nespravite)
Ano. Spoustedlo qmail-local (jmenuje se qmail-lspawn) musi bezet
jako root. Taky je protokol, kterym si s ostatnimi komponentami
domlouva, co a jak ma spustit, velmi dobre auditovan. Jo, a taky
qmail-lspawn v zivote neuvidi nic z toho mailu, nic neparsuje apod.
> 4. urcite nejake dalsie
Jake?
Pro shrnuti:
1. Kratce po startu bezi nektere cast qmailu jako root; v podstate
spusti nekolik procesu pod ruznymi uzivateli a mezi nimi vytvori
roury.
2. Kazda komponenta si shodi privilegia na minimalni mozna.
3. Pro poslouchani na portu 25 se pouzije nejake jednoduche
spoustedlo jako inetd nebo tcpserver, ktere po akceptovani soketu
spousteji dite jiz v jinem kontextu.
4. A ano, je tam jeden SGID program (qmail-queue), ktery muze
psat do fronty. Vzhledem ke zvolenemu protokolu predavani posty
jej muze uzivatel vyuzit k DoS utoku (zaplneni fronty) - ovsem
nikoliv k ziskani pristupu k fronte.
Nerikam, ze tento postup je jediny mozny, ale
1. je overitelne nederavy
2. je o mnoho lepsi nez 200kB binarky parsujici uplne neznamou
vec pod uid 0
> > 5. RedHat ho ma jako defaultniho mailera :-)
> hej a som s nim spokojny. kto nie je moze predsa zmenit :-)
Hm. Kdyby jen miliarda RPM builderu nedavala do dependenci
sendmail, kdyz mysli MTA.
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOCaqnlMwP8g7qbw/EQJ+KwCeKKk6UI5p2DeO7KIShqEdov7yvSsAoOlc
a9geWJ/3sjbeQUYHNEhYvWTp
=cUsJ
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux