セキュリティ

sendmail についてのセキュリティの多くは、その利用者に帰着します。 sendmail 8 は、以前のバージョンよりもセキュリティに関わる問題の チェックについてずっと注意が払われています。しかし、それでも注意 しなければならないことがいくつかあります。特に以下については注意 が必要です。

• 信頼されているシステム管理者以外は aliases ファイルには書き込めない ようにすること。テキスト形式もデータベース形式も同様です。
• mailertable など、sendmail が読み込む他のファイルは、信頼されて いるシステム管理者のみ書き込み可能とすること。
• 待行列(mqueue)は world writable にしないこと。システムで "file giveaways" (非 root ユーザが、自分の所有するファイルを他の ユーザに chown できることを指す) を許可している場合は特に。
• "file giveaways" を許可しているシステムでは、forward ファイルの置場 として誰でも書き込み可能なディレクトリを作成してはいけません。そのよ うなディレクトリを作成すると、ユーザが他のユーザのメールを盗むことが できてしまいます。

  (NFS マウントしていない forward ファイル用のディレ クトリが必要なのであれば、) そのようなディレクトリを作成するのではなく、 ユーザのホームディレクトリから一晩に一回 .forward ファイルをコピー するスクリプトを用意すればよいでしょう。

• "file giveaways" を許可しているシステムでは、sendmail が :include: ファイルをほとんど信用していないことが分かると思います。

  特に、 /etc/shells ファイル中に /SENDMAIL/ANY/SHELL/ を入れておくことによっ て :include: ファイルが信用されるようになるでしょう (すなわち :include: されるファイルに記述されているファイルやプログラムが信用さ れる)。 一般に、 "file giveaways" は間違った設定によるものです。 "file giveaways" の必要がないならば、できないようにしておきましょう。

この画面は jeedosaquin を使って表示しています。

Copyright cf Project