omezeni uzivatele

Petr Novotny Petr.Novotny na antek.cz
Úterý Listopad 23 17:56:01 CET 1999 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 23 Nov 99, at 17:43, Michal Krause wrote:

> On 11/23/99 13:58, Peter Ronai wrote:
> > napriklad tcpwarapperom, to sa mi zda najtrivialnejsie
> > do hosts.deny
> > ipop3d:uzivatel na ALL
> 
> Moment, tohle je ale uzivatel, ktery se zjisti pres ident a ne ten, na
> ktereho se prihlasuji, ne?

Ono je to vubec zmatene - proc by ident mel vracet jmeno 
uzivatele, ze ano? Jak jsem zaslechl, ident by mel pouze vracet 
"magic cookie", pomoci nejz dodatecne root z logu muze neco 
vykoukat. Ovsem nejaci implementatori se nechali zmast a zacali 
vracet uzivatelske jmeno, nasledne pak na zjistena uzivatelska 
jmena (typicky v unixu jmeno==mailbox) zacali spammeri 
spammovat a pak "chytri" administratori zacali ident zcela 
zakazovat...

> Tcpwrapper preci nerozumi protokolum
> spoustenych sluzeb. 

Tak tak.

> Myslim, ze jedine reseni je podpora pro podobne filtrovani uzivatelu
> primo v konkretni aplikaci (napr. POP3 serveru).

Pro PAMifikovany POP3 neni vubec problem pridat radku typu
auth  required   pam_listfile.so item=user sense=deny onerr=fail 
file=/etc/forbidden_pop3

Problem je se SMTP, ktery pojem uzivatele vubec nezna. Je 
mozne blokovat IP adresu (blokuje vsechny lidi ze stejneho 
pocitace), je mozne blokovat podle hlavicky From: (lze trivialne 
obejit).

Moznost (pouzitelna) je vynucovat pro SMTP politiku
"POP3-before-SMTP" a blokovanim POP3 efektivne blokujete i 
SMTP. (Pokud se muze uzivatel prihlasit a spustit /usr/lib/sendmail 
ci /usr/sbin/sendmail, je jeste treba zamezit tomu. Napriklad pridat 
uzivatele do skupiny nosendmail, zmenit skupinu vlastnika 
/usr/{lib,sbin}/sendmail na nosendmail a dat chmod g-rwx...)

-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60 
Comment: http://community.wow.net/grt/qdpgp.html

iQA/AwUBODrVQFMwP8g7qbw/EQLL1ACgnKzAWrE6HF/4+K6OWgxX8Jl3ytkAnjtL
8KKXS5uQVw3TprBUHVs2xfod
=//vX
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
                                                             [Tom Waits]

Další informace o konferenci Linux