SMTP安全手册—Sendmail服务器安全
2009-05-13 14:44:15来源:未知 阅读 ()
Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。 由于Sendmail邮件
[url=javascript:;]服务器[/url]
的特点是功能强大而复杂,因此为保证Sendmail的
[url=javascript:;]安全[/url]
性,需要作以下一些工作。
1、设置Sendmail使用"smrsh"
smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具,它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候,smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。
第一步:
决定smrsh可以允许sendmail运行的命令列表。缺省情况下应当包含以下命令,但不局限于这些命令:
"/bin/mail" (如果在你的系统中安装了的话)
"/usr/bin/procmail" (如果在你的系统中安装了的话)
注意:不可在命令列表里包括命令解释程序,例如sh(1),csh(1),perl(1),uudecode(1)及流编辑器sed(1)。
第二步:
在"/etc/smrsh"目录中创建允许sendmail运行的程序的符号连接。
使用以下命令允许mail程序"/bin/mail"运行:
[root@deep]# cd /etc/smrsh
[root@deep]# ln -s /bin/mail mail
用以下命令允许procmail程序"/usr/bin/procmail"运行:
[root@deep]# cd /etc/smrsh
[root@deep]# ln -s /usr/bin/procmail procmail
这将允许位于".forward"和"aliases"中的用户采用"|program"语法来运行mail及procmail程序。
第三步
配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。
编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并改动下面这一行:
例如:
Mprog, P=/bin/sh, F=lsDFMoqeu9,
S=10/30, R=20/40,
D=$z:/, T=X-Unix,
A=sh -c $u
应该被改为:
Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9,
S=10/30, R=20/40, D=$z:/,T=X-Unix, A=sh -c $u
现在用以下命令手工重起sendmail进程:
[root@deep]# /etc/rc.d/init.d/sendmail restart
2、"/etc/aliases"文件
如果没有加以正确和严格的
[url=javascript:;]管理[/url]
的话,别名文件被用来获取特权。例如,很多发行版本在别名文件中带有"decode"别名。现在这种情况越来越少了。
这样做的目的是为用户提供一个通过mail传输二进制文件的方便的方式。在邮件的发送地,用户把二进制文件用"uuencode"转换成ASCII格式,并把结果邮递给接收地"decode"别名。那个别名通过管道把邮件消息发送到"/usr/bin/uuencode"程序,由这个程序来完成从ASCII转回到原始的二进制文件的工作。
删除"decode"别名。类似的,对于所有用于执行没有被放在smrsh目录下的程序的别名,你都要仔细的检查,可能它们都值得怀疑并应当删除它们。要想使你的改变生效,需要运行:
[root@deep]# /usr/bin/newaliases
编辑别名文件(vi /etc/aliases)并删除以下各行:
# Basic system aliases -- these MUST be present.
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- FAMP5.0推出,网页式管理服务器,一键安装Apache+Nginx+Mysql+ 2009-05-13
- rsync服务器架设 2009-05-13
- 如何用光盘升级系统 2009-05-13
- Rsync服务架设 2009-05-13
- 让Apache上传不安全-php.rar 2009-05-13
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash