omezeni uzivatele
Petr Novotny
Petr.Novotny na antek.cz
Úterý Listopad 23 17:56:01 CET 1999
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 23 Nov 99, at 17:43, Michal Krause wrote:
> On 11/23/99 13:58, Peter Ronai wrote:
> > napriklad tcpwarapperom, to sa mi zda najtrivialnejsie
> > do hosts.deny
> > ipop3d:uzivatel na ALL
>
> Moment, tohle je ale uzivatel, ktery se zjisti pres ident a ne ten, na
> ktereho se prihlasuji, ne?
Ono je to vubec zmatene - proc by ident mel vracet jmeno
uzivatele, ze ano? Jak jsem zaslechl, ident by mel pouze vracet
"magic cookie", pomoci nejz dodatecne root z logu muze neco
vykoukat. Ovsem nejaci implementatori se nechali zmast a zacali
vracet uzivatelske jmeno, nasledne pak na zjistena uzivatelska
jmena (typicky v unixu jmeno==mailbox) zacali spammeri
spammovat a pak "chytri" administratori zacali ident zcela
zakazovat...
> Tcpwrapper preci nerozumi protokolum
> spoustenych sluzeb.
Tak tak.
> Myslim, ze jedine reseni je podpora pro podobne filtrovani uzivatelu
> primo v konkretni aplikaci (napr. POP3 serveru).
Pro PAMifikovany POP3 neni vubec problem pridat radku typu
auth required pam_listfile.so item=user sense=deny onerr=fail
file=/etc/forbidden_pop3
Problem je se SMTP, ktery pojem uzivatele vubec nezna. Je
mozne blokovat IP adresu (blokuje vsechny lidi ze stejneho
pocitace), je mozne blokovat podle hlavicky From: (lze trivialne
obejit).
Moznost (pouzitelna) je vynucovat pro SMTP politiku
"POP3-before-SMTP" a blokovanim POP3 efektivne blokujete i
SMTP. (Pokud se muze uzivatel prihlasit a spustit /usr/lib/sendmail
ci /usr/sbin/sendmail, je jeste treba zamezit tomu. Napriklad pridat
uzivatele do skupiny nosendmail, zmenit skupinu vlastnika
/usr/{lib,sbin}/sendmail na nosendmail a dat chmod g-rwx...)
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBODrVQFMwP8g7qbw/EQLL1ACgnKzAWrE6HF/4+K6OWgxX8Jl3ytkAnjtL
8KKXS5uQVw3TprBUHVs2xfod
=//vX
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux