网站运营
位置:首页>> 网站运营>> SMTP安全手册—Sendmail服务器安全

SMTP安全手册—Sendmail服务器安全

作者:佚名 来源:it.com.cn 发布时间:2009-02-20 17:45:00 

标签:SMTP,手册,Sendmail,服务器,安全

Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。 由于Sendmail邮件服务器的特点是功能强大而复杂,因此为保证Sendmail的安全性,需要作以下一些工作。

1、设置Sendmail使用"smrsh"

smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具,它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候,smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。

第一步:

决定smrsh可以允许sendmail运行的命令列表。缺省情况下应当包含以下命令,但不局限于这些命令:

"/bin/mail" (如果在你的系统中安装了的话)

"/usr/bin/procmail" (如果在你的系统中安装了的话)

注意:不可在命令列表里包括命令解释程序,例如sh(1),csh(1),perl(1),uudecode(1)及流编辑器sed(1)。

第二步:

在"/etc/smrsh"目录中创建允许sendmail运行的程序的符号连接。

使用以下命令允许mail程序"/bin/mail"运行:

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /bin/mail mail

用以下命令允许procmail程序"/usr/bin/procmail"运行:

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /usr/bin/procmail procmail

这将允许位于".forward"和"aliases"中的用户采用"|program"语法来运行mail及procmail程序。

第三步

配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。

编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并改动下面这一行:

例如:

Mprog, P=/bin/sh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

应该被改为:

Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

现在用以下命令手工重起sendmail进程:

[root@deep]# /etc/rc.d/init.d/sendmail restart

1
2 3 4 5 下一页
0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com