Konfigurace sendmail na Firewallu

Petr Novotny Petr.Novotny na antek.cz
Pondělí Listopad 8 11:49:02 CET 1999 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 8 Nov 99, at 11:32, Jan Satko wrote:
> > Ale ja nerikam, ze sendmail je spatny program. Ja pouze rikam, ze
> > 1. vyuzijete nejvys tak 10% toho, co umi
> > 2. zbyvajicich 90% je tezko se zbavovat
> 
> Nuz neviem neviem. Od toho mate predsa konfiguracny subor.
> Ako si ho nastavite je vasa vec.

A vy rozumite te explozi v tovarne na interpunkci na konci 
sendmail.cf? :-)

> Od toho su pouzsivatelia aby nejaku nasli ak je. Zatila neviem skoro o
> ziadnej.(skoro- jedna vec mi blbne, ale mozno robim nieco zle)

Nikdy jsem nerikal, ze 8.9.3 je deravy. Nejspis je z existujicich 
sendmailu ten nejmene deravy. Ovsem historie rika, ze v sendmailu 
vzdycky nejaky root-exploit byl. Je to otazka duvery - uz to 
tentokrat programatori napsali spravne?

> 4. a
> navic to vse bezi pod uid 0 - proc?
> 
> Myslim ze aj qmail musi mat uid0. 
> 1. musi vediet obsadit port 0-1024

Na to je potreba root jen na okamzik pri startu (tj. jeste driv, nez se 
zacne qmail s kymkoliv bavit). Navic lze pouzit treba inetd. Vam 
bezi BIND jako root?

> 2. aby mohol do queue davat iba root.

Proc? Je vyhrazeny uzivatel, ktery do queue umistuje. Proc root? 
Co je spatneho na neprivilegovanem uzivateli qmailq (a skupine 
qmail)?

> 3. prehadzovat si prava na inych uzivatelov.(setuid bez roota nespravite)

Ano. Spoustedlo qmail-local (jmenuje se qmail-lspawn) musi bezet 
jako root. Taky je protokol, kterym si s ostatnimi komponentami 
domlouva, co a jak ma spustit, velmi dobre auditovan. Jo, a taky 
qmail-lspawn v zivote neuvidi nic z toho mailu, nic neparsuje apod.

> 4. urcite nejake dalsie

Jake?


Pro shrnuti:
1. Kratce po startu bezi nektere cast qmailu jako root; v podstate 
spusti nekolik procesu pod ruznymi uzivateli a mezi nimi vytvori 
roury.
2. Kazda komponenta si shodi privilegia na minimalni mozna.
3. Pro poslouchani na portu 25 se pouzije nejake jednoduche 
spoustedlo jako inetd nebo tcpserver, ktere po akceptovani soketu 
spousteji dite jiz v jinem kontextu.
4. A ano, je tam jeden SGID program (qmail-queue), ktery muze 
psat do fronty. Vzhledem ke zvolenemu protokolu predavani posty 
jej muze uzivatel vyuzit k DoS utoku (zaplneni fronty) - ovsem 
nikoliv k ziskani pristupu k fronte.

Nerikam, ze tento postup je jediny mozny, ale
1. je overitelne nederavy
2. je o mnoho lepsi nez 200kB binarky parsujici uplne neznamou 
vec pod uid 0

> > 5. RedHat ho ma jako defaultniho mailera :-)
> hej a som s nim spokojny. kto nie je moze predsa zmenit :-)

Hm. Kdyby jen miliarda RPM builderu nedavala do dependenci 
sendmail, kdyz mysli MTA.

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBOCaqnlMwP8g7qbw/EQJ+KwCeKKk6UI5p2DeO7KIShqEdov7yvSsAoOlc
a9geWJ/3sjbeQUYHNEhYvWTp
=cUsJ
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux