Sendmail remote root
Jan Kasprzak
kas na informatics.muni.cz
Středa Březen 5 14:32:57 CET 2003
Ing. Pavel PaJaSoft Janousek wrote:
: Jan Kasprzak wrote:
: >
: > Qmail? TCP wrapper? Perl? Bash? TrollTech FTPd?
:
: Qmail v podobe v jake je 'bezpecny' je vyuzitelny? Ted nemyslim pro
: firmicku s jednou domenou a 5 POP3 boxy... - ostatne pro takove nasazeni
: je i sendmail veeeelky kanon... Myslim nasazeni v pozici rekneme mensiho
: ISP, ktery nechce investovat do komercniho reseni (zhruba stejne
: bezpecneho, jak tak sleduju).
Na linux.cz bezi qmail ktery dorucuje okolo 200000 zprav denne.
Je bezpecny a vyuzitelny. Rozhodne vic nez to nespecifikovane komercni
reseni, ktere zminujete. Virtualni domeny umi, jedine co neumi (a muzete
asi legalne chtit, zejmena z historickych duvodu) je prepisovani hlavicek.
:
: TCP wrappers ne,
: Perl ano,
: Bash ano,
: TrollTech FTPD neznam...
:
: Takze polovina Vami zminenych systemu mela v poslednich 2-3 letech
: zavazny security hole...
Pokud bylo cilem ukazat aspon nejaky vetsi projekt bez bezpecnostni
diry, tak jsem cil splnil.
: > a snadno doimplementovatelne. Sendmail na to jde presne opacnym zpusobem
: > (na druhou stranu Qmail vetsinou nesplnuje to "snadno doimplementovatelne").
:
: A co vice, na ty patche nikdo zadnou zaruku neda, takze realny system
: stejne s originalnim qmail zpravidla nebezi... - navic jak jsem zde
: zaznamenal, qmail po vzoru sveho stvoritele funguje dle jeho idei a
: nikoli dle dohodnutych konvenci (treba v RFC), ostatne neni to jediny
: jeho produkt, ktery to dela...:-)
Pokud soudite Qmail jen podle toho co jste o nem slysel, asi
tedy nema cenu dale diskutovat o jeho mozne vyuzitelnosti pro mensiho
ISP nebo co.
Nerikam ze Qmail je idealni. Ale je to prikladem "secure-by-design"
softwaru. Nejde o nejake zaruky nebo tak. Ale s timto designem do
systemu na Qmailu postavenem velmi tezko zanesete bezpecnostni chybu
i svymi upravami.
Abych to shrnul. Muj puvodni text byl reakci na to, ze existuji
bezpecne navrzene systemy a ze lze delat programy "secure-by-design"
a ne tam dobastlovat ad-hoc kontroly jako v pripade sendmailu. A za tim
si stojim.
-Jan Kasprzak
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Czech Linux Homepage: http://www.linux.cz/ |
|-- If you start doing things because you hate others and want to screw --|
|-- them over the end result is bad. --Linus Torvalds to the BBC News --|
Další informace o konferenci Linux