SMTP安全手册—Sendmail服务器安全
作者:佚名 来源:it.com.cn 发布时间:2009-02-20 17:45:00
Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。 由于Sendmail邮件服务器的特点是功能强大而复杂,因此为保证Sendmail的安全性,需要作以下一些工作。
1、设置Sendmail使用"smrsh"
smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具,它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候,smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。
第一步:
决定smrsh可以允许sendmail运行的命令列表。缺省情况下应当包含以下命令,但不局限于这些命令:
"/bin/mail" (如果在你的系统中安装了的话)
"/usr/bin/procmail" (如果在你的系统中安装了的话)
注意:不可在命令列表里包括命令解释程序,例如sh(1),csh(1),perl(1),uudecode(1)及流编辑器sed(1)。
第二步:
在"/etc/smrsh"目录中创建允许sendmail运行的程序的符号连接。
使用以下命令允许mail程序"/bin/mail"运行:
[root@deep]# cd /etc/smrsh
[root@deep]# ln -s /bin/mail mail
用以下命令允许procmail程序"/usr/bin/procmail"运行:
[root@deep]# cd /etc/smrsh
[root@deep]# ln -s /usr/bin/procmail procmail
这将允许位于".forward"和"aliases"中的用户采用"|program"语法来运行mail及procmail程序。
第三步
配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。
编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并改动下面这一行:
例如:
Mprog, P=/bin/sh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u
应该被改为:
Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u
现在用以下命令手工重起sendmail进程:
[root@deep]# /etc/rc.d/init.d/sendmail restart
猜你喜欢
- 对于我们经常使用的windows2000/xp,其中有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此向大家做一个介绍。
- 因为WordPress自带的搜索功能结果排序非常糟糕,在站点文章多的时候很难通过搜索找到自己要找的内容,不少人已经使用 Google CSE
- 服务器虚拟化只需要较少的硬件资源就能运行多重应用程序和操作系统,能允许用户根据自身需求快速调配新的资源。但是这些灵活性也导致网络和安全管理者
- 网站浏览视觉原理SEO出现不是突然的,而是长期以来网站主们在不知不觉中地在揣测人们浏览网站的行为,设法将网站出现在人们眼睛所聚焦的地方。通过
- Adobe Dreamweaver支持HTML5 Xtalk社区聊天插件 v1.2 正式版5月19日发布。Xtalk是为Discuz!/UC
- 个人网站越来越多,据说现在中国个人站长已经超过了3200万。而且由于CN域名一元促销活动的推动,越来越多的网民走向了个人站长的道理。但是,网
- 随着网络的发展和各种信息媒体的诞生,人们进行信息交流的方式和途径也越来越多,但是,由于现今的各种通信费用一直居高不下,且人们的生活节奏日趋加
- 应用Google Adwords的营销者们现在有了一个新的定向选择。Google Adwords广告系统升级后,商业企业可以根据
- 100 Continue 初始的请求已经接受,客户应当继续发送请求的其余部分。(HTTP 1.1新)101 Switching Protoc
- 迎接奥运,除了做奥运志愿者、抢购奥运门票、学习“How are you”,我们还可以做什么?据AC尼尔森的预测,2008年,网络广告市场受奥
- 在这篇文章中,我将向你们介绍各种Exchange Server(ExchangeServer是微软公司开发的邮件服务程序)组件所使用的通信端
- 10月12日消息,据腾讯公司最新公布数据显示:2009年10月10日20点,腾讯QQ同时在线用户突破8000万。CNNIC日前最新发布的互联
- iis限制,流量限制与cpu限制的对比当前的虚拟主机主要分为三类流量限制:一:流量限制就是直接限制网络流量,这种限制通常是最严厉的一种流量限
- 一项调查显示,超过60%的网民对政府网站不满意,只有7%表示满意。这的确是个值得重视的信号。网民上政府网站,要么是查看信息,要么是反映情况,
- 提高IIS网站服务器执行效率的第八种方法:静态网页采用HTTP 压缩静态网页采用HTTP 压缩,大约可以减少20%的传输量。HTTP压缩功能
- 3月3日消息,据国外媒体报道,随着市场份额日渐增大,谷歌又推出了新的Chrome Beta版。新版本Chrome只是针对于Windows用户
- 喜欢看电影吗?有收藏电影的习惯吗?网上看电影,资源太多,纵使再大的硬盘都会很快装满,你是否在为无法保存自己喜爱的影片而发愁呢?我想大部分着迷
- 修改文件dede/templets/content_batch_up.htm修改头部脚本函数ShowHideMove()function S
- 从真正接触网络到做个人站长,也就几年的事情,得出一个结论,做站长很辛苦。也许一个站长少了很多与别人谈笑的时间,却多了许多面对电脑独自思考的理
- 10月15日,第一视频(0082.HK)董事局主席张力军表示,第一视频斥资1.68亿人民币收购中国品牌手机游戏开发服务商Dragon Joy