[ Pobierz całość w formacie PDF ]
.52 ready at Mon, 2 Jul 9015:57:29 EDTwiz500 Command unrecognizeddebug500 Command unrecognizedkill500 Command unrecognizedquit221 prose.Cambridge.ma.us closing connectionConnection closed by foreign host%Polecenie telnet localhost smtp otwiera poÅ‚Ä…czenie TCP miÄ™dzy terminalem i smtp w komputerzelokalnym (który ma zazwyczaj alias localhost).W ten sposób pojawia siÄ™ możliwość wykonywaniapoleceÅ„ w interpreterze.JeÅ›li sendmail odpowiada na polecenie debug lub wiz inaczej niż command unrecognized", wyÅ›wietlajÄ…c na przykÅ‚ad jeden z poniższych komunikatów, należyniezwÅ‚ocznie wymienić wersjÄ™ sendmaila (patrz punkt 4):200 Debug set200 Mother is dead500 Cant ki11 Mom200 Please pass, oh mighty wizard500 You arÄ™ no wizard!2.Z pliku aliasów usuÅ„ aliasy dekodujÄ…ce, które mogÄ… wyglÄ…dać na przykÅ‚ad tak:decode: " | /usr/bin/uudecode"Alias dekodujÄ…cy umożliwia przekazywanie wiadomoÅ›ci pocztowych bezpoÅ›rednio do programuuudecode.OkazaÅ‚o siÄ™, że ta możliwość stanowi lukÄ™ bezpieczeÅ„stwa.Sprawdz dokÅ‚adnie każdyalias, który wskazuje na plik, a nie na konto użytkownika.PamiÄ™taj o uruchomieniu newaliases pozmianie treÅ›ci pliku aliases.3.Zabezpiecz plik aliases tak, aby nie mógÅ‚ go modyfikować nikt poza administratorem systemu.W przeciwnym wypadku użytkownicy bÄ™dÄ… mogli dodawać wÅ‚asne aliasy uruchamiajÄ…ceprogramy, przekierować pocztÄ™ od administratora systemu czy inaczej siÄ™ zabawiać.JeÅ›liużywana wersja sendmaila generuje pliki aliases.dir i aliases.pag.dbm, te pliki powinny byćrównież zabezpieczone.4.Zablokuj dziaÅ‚anie hasÅ‚a wizard" w pliku sendmail.cf.JeÅ›li hasÅ‚o nie zostanie zablokowane,osoba znajÄ…ca to hasÅ‚o bÄ™dzie mogÅ‚a siÄ™ poÅ‚Ä…czyć z demonem sendmail i uruchomić powÅ‚okÄ™ bezlogowania! JeÅ›li ta funkcja bÄ™dzie wÅ‚Ä…czona w send-mailu, wiersz z hasÅ‚em bÄ™dzie siÄ™ zaczynaÅ‚ odwielkich liter ÓW", np.:# Niech wizard robi sobie, co chce: OWsitrVlWxktZ67JeÅ›li w pliku znajduje siÄ™ podobny wiersz, zastÄ…p go nastÄ™pujÄ…cym:# Zablokowane hasÅ‚o wizard ÓW*5.Upewnij siÄ™, że masz zainstalowanÄ… najnowszÄ… dostÄ™pnÄ… wersjÄ™ sendmaila.Sprawdzajkomunikaty z listy CERT i bierz pod uwagÄ™ możliwość kolejnego uaktualnienia, kiedy na liÅ›ciepojawiÄ… siÄ™ informacje o kolejnej wykrytej usterce w sendmaiht.Jak siÄ™ pozbyć niczyjej pocztyW systemie Unbc znajdujÄ… siÄ™ konta, które nie odpowiadajÄ… żadnym osobowym użytkownikom,lecz sÅ‚użą do okreÅ›lonych funkcji systemowych.PrzykÅ‚adami takich kont mogÄ… być uucp, news czyroot.Niestety system pocztowy bÄ™dzie radoÅ›nie odbieraÅ‚ pocztÄ™ dla tych kont.Poczta dostarczana do jednego z tych kont normalnie trafia do jakiegoÅ› pliku, najczęściej w/var/spool/mail.Tam leży i czeka, aż ktoÅ› jÄ… przeczyta.W niektórych systemach poczta potraficzekać na użytkownika news czy ingres dÅ‚użej niż pięć lat!Czy to stanowi jakiÅ› problem? Tak:" Pliki z pocztÄ… mogÄ… rosnąć do wielkoÅ›ci kilku megabajtów, zajmujÄ…c cenne zasoby systemowe." Wiele programów mogÄ…cych dziaÅ‚ać autonomicznie bÄ™dzie w przypadku problemu wysyÅ‚aćpocztÄ™ na adresy, takie jak news czy uucp.JeÅ›li ta poczta bÄ™dzie zaniedbywana przezadministratora systemu, problemy pozostawione same sobie nie bÄ™dÄ… usuniÄ™te.Problemów zwiÄ…zanych z niczyjÄ… pocztÄ… można uniknąć.Należy utworzyć aliasy pocztowe dlawszystkich kont, które nie sÄ… skojarzone z żadnym osobowym użytkownikiem.Aliasy te powinnybyć umieszczone na poczÄ…tku pliku aliases:## Aliasy systemowe#root: simsongPostmaster: rootusenet: rootnews: rootOSTRZE%7Å‚ENIEKiedy sÄ… ogÅ‚aszane usterki zwiÄ…zane z bezpieczeÅ„stwem, potencjalni przestÄ™pcy mogÄ… zadziaÅ‚aćszybciej niż administrator systemu instalujÄ…cy uaktualnienie.Z tego powodu zalecamywykonywanie uaktualnieÅ„ tak szybko, jak jest to tylko możliwe.ZdarzaÅ‚y siÄ™ wÅ‚amania w sześćgodzin po ogÅ‚oszeniu zalecenia CERT.ZwiÄ™kszanie bezpieczeÅ„stwa programu Berkeley sendmail V8Zagorzali zwolennicy używania jako serwera poczty programu Berkeley sendmail mogÄ… poprawićbezpieczeÅ„stwo swojego systemu, stosujÄ…c wersjÄ™ 8.Oprócz wersji 8 funkcjonuje jeszcze wersja5, bo ani wersja 6, ani 7 siÄ™ nie ukazaÅ‚y.UWAGAPamiÄ™taj o Å›ledzeniu i zdobywaniu nowo pojawiajÄ…cych siÄ™ wersji sendrnaila.W programie tym sÄ…wciąż odkrywane nowe usterki zwiÄ…zane z bezpieczeÅ„stwem.Zaniedbania w tym wzglÄ™dzie mogÄ…narazić system na niebezpieczeÅ„stwo wÅ‚amania!Istnieje kilka dobrze znanych sposobów wÅ‚amywania z wykorzystaniem skryptów.DotyczÄ… onegłównie starszych wersji sendmaila - wersji dostarczanych przez wielu dostawców.Wersja 8,oprócz tego, że zawiera wiele poprawek w stosunku do poprzednich wersji sendmaila, ma liczne opcje bezpieczeÅ„stwa", które można ustawiać, umieszczajÄ…c odpowiednie zapisy w plikusendmail.cf.Wiele z nich sÅ‚uży do sterowania, jakie wewnÄ™trzne informacje sÄ… udostÄ™pnianeużytkownikom z sieci Internet.Te opcje opisano w tabeli 17-1.Tabela 17-1.Opcje bezpieczeÅ„stwa w wersji 8 programu sendmailOpcja DziaÅ‚anie Opisnovrfy blokada poleceniaY Polecenie VRFY może byćnoexpn RFY używane przez użytkowników zneedmailhelo blokada polecenia zewnÄ…trz do sprawdzania nazwEXPN użytkowników [ Pobierz caÅ‚ość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl odbijak.htw.pl
.52 ready at Mon, 2 Jul 9015:57:29 EDTwiz500 Command unrecognizeddebug500 Command unrecognizedkill500 Command unrecognizedquit221 prose.Cambridge.ma.us closing connectionConnection closed by foreign host%Polecenie telnet localhost smtp otwiera poÅ‚Ä…czenie TCP miÄ™dzy terminalem i smtp w komputerzelokalnym (który ma zazwyczaj alias localhost).W ten sposób pojawia siÄ™ możliwość wykonywaniapoleceÅ„ w interpreterze.JeÅ›li sendmail odpowiada na polecenie debug lub wiz inaczej niż command unrecognized", wyÅ›wietlajÄ…c na przykÅ‚ad jeden z poniższych komunikatów, należyniezwÅ‚ocznie wymienić wersjÄ™ sendmaila (patrz punkt 4):200 Debug set200 Mother is dead500 Cant ki11 Mom200 Please pass, oh mighty wizard500 You arÄ™ no wizard!2.Z pliku aliasów usuÅ„ aliasy dekodujÄ…ce, które mogÄ… wyglÄ…dać na przykÅ‚ad tak:decode: " | /usr/bin/uudecode"Alias dekodujÄ…cy umożliwia przekazywanie wiadomoÅ›ci pocztowych bezpoÅ›rednio do programuuudecode.OkazaÅ‚o siÄ™, że ta możliwość stanowi lukÄ™ bezpieczeÅ„stwa.Sprawdz dokÅ‚adnie każdyalias, który wskazuje na plik, a nie na konto użytkownika.PamiÄ™taj o uruchomieniu newaliases pozmianie treÅ›ci pliku aliases.3.Zabezpiecz plik aliases tak, aby nie mógÅ‚ go modyfikować nikt poza administratorem systemu.W przeciwnym wypadku użytkownicy bÄ™dÄ… mogli dodawać wÅ‚asne aliasy uruchamiajÄ…ceprogramy, przekierować pocztÄ™ od administratora systemu czy inaczej siÄ™ zabawiać.JeÅ›liużywana wersja sendmaila generuje pliki aliases.dir i aliases.pag.dbm, te pliki powinny byćrównież zabezpieczone.4.Zablokuj dziaÅ‚anie hasÅ‚a wizard" w pliku sendmail.cf.JeÅ›li hasÅ‚o nie zostanie zablokowane,osoba znajÄ…ca to hasÅ‚o bÄ™dzie mogÅ‚a siÄ™ poÅ‚Ä…czyć z demonem sendmail i uruchomić powÅ‚okÄ™ bezlogowania! JeÅ›li ta funkcja bÄ™dzie wÅ‚Ä…czona w send-mailu, wiersz z hasÅ‚em bÄ™dzie siÄ™ zaczynaÅ‚ odwielkich liter ÓW", np.:# Niech wizard robi sobie, co chce: OWsitrVlWxktZ67JeÅ›li w pliku znajduje siÄ™ podobny wiersz, zastÄ…p go nastÄ™pujÄ…cym:# Zablokowane hasÅ‚o wizard ÓW*5.Upewnij siÄ™, że masz zainstalowanÄ… najnowszÄ… dostÄ™pnÄ… wersjÄ™ sendmaila.Sprawdzajkomunikaty z listy CERT i bierz pod uwagÄ™ możliwość kolejnego uaktualnienia, kiedy na liÅ›ciepojawiÄ… siÄ™ informacje o kolejnej wykrytej usterce w sendmaiht.Jak siÄ™ pozbyć niczyjej pocztyW systemie Unbc znajdujÄ… siÄ™ konta, które nie odpowiadajÄ… żadnym osobowym użytkownikom,lecz sÅ‚użą do okreÅ›lonych funkcji systemowych.PrzykÅ‚adami takich kont mogÄ… być uucp, news czyroot.Niestety system pocztowy bÄ™dzie radoÅ›nie odbieraÅ‚ pocztÄ™ dla tych kont.Poczta dostarczana do jednego z tych kont normalnie trafia do jakiegoÅ› pliku, najczęściej w/var/spool/mail.Tam leży i czeka, aż ktoÅ› jÄ… przeczyta.W niektórych systemach poczta potraficzekać na użytkownika news czy ingres dÅ‚użej niż pięć lat!Czy to stanowi jakiÅ› problem? Tak:" Pliki z pocztÄ… mogÄ… rosnąć do wielkoÅ›ci kilku megabajtów, zajmujÄ…c cenne zasoby systemowe." Wiele programów mogÄ…cych dziaÅ‚ać autonomicznie bÄ™dzie w przypadku problemu wysyÅ‚aćpocztÄ™ na adresy, takie jak news czy uucp.JeÅ›li ta poczta bÄ™dzie zaniedbywana przezadministratora systemu, problemy pozostawione same sobie nie bÄ™dÄ… usuniÄ™te.Problemów zwiÄ…zanych z niczyjÄ… pocztÄ… można uniknąć.Należy utworzyć aliasy pocztowe dlawszystkich kont, które nie sÄ… skojarzone z żadnym osobowym użytkownikiem.Aliasy te powinnybyć umieszczone na poczÄ…tku pliku aliases:## Aliasy systemowe#root: simsongPostmaster: rootusenet: rootnews: rootOSTRZE%7Å‚ENIEKiedy sÄ… ogÅ‚aszane usterki zwiÄ…zane z bezpieczeÅ„stwem, potencjalni przestÄ™pcy mogÄ… zadziaÅ‚aćszybciej niż administrator systemu instalujÄ…cy uaktualnienie.Z tego powodu zalecamywykonywanie uaktualnieÅ„ tak szybko, jak jest to tylko możliwe.ZdarzaÅ‚y siÄ™ wÅ‚amania w sześćgodzin po ogÅ‚oszeniu zalecenia CERT.ZwiÄ™kszanie bezpieczeÅ„stwa programu Berkeley sendmail V8Zagorzali zwolennicy używania jako serwera poczty programu Berkeley sendmail mogÄ… poprawićbezpieczeÅ„stwo swojego systemu, stosujÄ…c wersjÄ™ 8.Oprócz wersji 8 funkcjonuje jeszcze wersja5, bo ani wersja 6, ani 7 siÄ™ nie ukazaÅ‚y.UWAGAPamiÄ™taj o Å›ledzeniu i zdobywaniu nowo pojawiajÄ…cych siÄ™ wersji sendrnaila.W programie tym sÄ…wciąż odkrywane nowe usterki zwiÄ…zane z bezpieczeÅ„stwem.Zaniedbania w tym wzglÄ™dzie mogÄ…narazić system na niebezpieczeÅ„stwo wÅ‚amania!Istnieje kilka dobrze znanych sposobów wÅ‚amywania z wykorzystaniem skryptów.DotyczÄ… onegłównie starszych wersji sendmaila - wersji dostarczanych przez wielu dostawców.Wersja 8,oprócz tego, że zawiera wiele poprawek w stosunku do poprzednich wersji sendmaila, ma liczne opcje bezpieczeÅ„stwa", które można ustawiać, umieszczajÄ…c odpowiednie zapisy w plikusendmail.cf.Wiele z nich sÅ‚uży do sterowania, jakie wewnÄ™trzne informacje sÄ… udostÄ™pnianeużytkownikom z sieci Internet.Te opcje opisano w tabeli 17-1.Tabela 17-1.Opcje bezpieczeÅ„stwa w wersji 8 programu sendmailOpcja DziaÅ‚anie Opisnovrfy blokada poleceniaY Polecenie VRFY może byćnoexpn RFY używane przez użytkowników zneedmailhelo blokada polecenia zewnÄ…trz do sprawdzania nazwEXPN użytkowników [ Pobierz caÅ‚ość w formacie PDF ]