Pokrewne
- Strona Główna
- Corey Rudl Internet Marketing Course (624 pages)
- Nienawisc w czasach internetu Alina Naruszewicz Duchlinska
- eBook Business Killer Internet Marketing Strategies
- tricks of the internet gurus
- Bezpieczenstwo Unixa w Internecie (2)
- Clarke Arthur C Tajemnica Ramy (SCAN dal 1137)
- McClure Ken Czerwona zima
- BarciÂś Artur, Graff Marzanna Rozmowy bez retuszu
- Conrad Joseph Wsrod pradow (3)
- Chmielowski Benedykt Nowe Ateny (2)
- zanotowane.pl
- doc.pisz.pl
- pdf.pisz.pl
- aniadka.keep
[ Pobierz całość w formacie PDF ]
.W tym rozdziale opisujemy:" Wrapper dla programu sendmail (smap/smapd), opracowany przez firmę Trusted InformationSystems (TIS)." Wrapper ogólnego stosowania (tcpwrapper) dla demonów UDP i TCP, opracowany przez WietseYenemę." Wrapper SOCKS, który umożliwia tunelowanie wychodzących połączeń TCP/IP przez zaporysieciowe, opracowany przez Davida i Michelle Koblas.W rozdziale umieszczamy również krótkie omówienie programu UDP Relayer, opracowanego przezToma Fitzgerałda.Ostatnia część rozdziału opisuje sytuacje, w których warto rozważyć możliwośćnapisania własnego wrappera.Wrapper dla programu sendmail (smap/smapd)Pakiet TIS Firewall Toolkit eliminuje wiele problemów bezpieczeństwa programu sendmail,trafiając w sedno sprawy, czyli rozdzielając połączenie sendmaila ze światem zewnętrznym.Zamiast używać jednego programu (sendmail) typu SUID nasłuchującego połączeń na porcie nr25, interpretującego wiele poleceń i dostarczającego pocztę do użytkowników, pakiet TISwykorzystuje dwa programy - jeden do odbierania poczty, drugi do jej dostarczania.Do czego służą programy smap i smapdProgramy wrappera sendmaila mają następujące funkcje:smapTen program odbiera wiadomości z sieci i zapisuje je w specjalnym katalogu do przyszłegowykorzystania.Choć program smap działa jako root, jest on wykonywany w specjalnym systemiechroot, z którego nie może zniszczyć systemu operacyjnego.Ten demon jest przeznaczony dowywoływania przez program intetd i kończenia działania po zakończeniu sesji dostarczaniapoczty.Program rejestruje wszystkie informacje z koperty SMTP.smapdTen program okresowo przegląda katalog, do którego smap dostarcza pocztę.Jeśli znajdziegotowe wiadomości, dostarcza je do plików odpowiednich użytkowników za pomocą programusendmail lub innego.Konfiguracja pakietu TIS Firewall Toolkit wraz z informacjami o uprawnieniach jest zapisana wjednym pliku - najczęściej /usr/local/etc/netperm-table.Oczywiście prawo do zapisu w tym plikupowinien mieć tylko superużytkownik.Aby uzyskać lepsze zabezpieczenie, należy ten plik ustawićw tryb 600.Jak uzyskać programy smap/smapd?Pakiet TIS Firewall Toolkit jest dostępny za pośrednictwem anonimowego FTP pod adresem ftp.tis.com.Instalowanie programów smap/smapdZainstalowanie kompletnego pakietu TIS Firewall Toolkit może być dość złożone.Na szczęścieprogramy opakowujące sendmaila można instalować niezależnie od całego pakietu.Wrappersendmaila może być używany do ochrony dowolnego komputera, w którym działa programsendmail, nawet jeśli komputer ten nie jest zaporą sieciową.Aby zainstalować wrapper sendmaila:1.Uzyskaj pakiet TIS Firewall Toolkit pod adresem ftp.tis.com.2.Przeczytaj dokumentację i skompiluj wrapper sendmaila.3.Zainstaluj plik konfiguracyjny netperm-table.Domyślne położenie tego pliku to/usr/local/etc/netperm-table.4.Zmień właściwości programów smap i smapd, podając identyfikator UID, pod którym ma byćuruchamiany smap, miejsce położenia programu sendmail oraz miejsce, do którego ma byćdostarczana poczta, jeśli z jakiegoś powodu nie może ona być dostarczona we właściwe miejsce.W tym przykładzie używamy identyfikatora UID równego 5, co według pliku /etc/passwdodpowiada użytkownikowi mail.Na przykład:smap, smapd: userid 5smap, smapd: directory /var/spool/smapsmapd: executable /usr/local/etc/smapdsmapd: sendmail /usr/1ib/sendmailsmapd: baddir /var/spool/smap/badsmap: timeout 36005.Utwórz katalog buforowy dla poczty (np./usr/spool/smap).Ustaw właściciela tego katalogu naużytkownika określonego w pliku konfiguracyjnym:# chown 5 /usr/spool/smap# chmod 700 /usr/spool/smapUtwórz również katalog na nieprawidłowe wiadomości pocztowe (np./usr/spo-ol/smap/bad).Ustaw właściciela katalogu na użytkownika określonego w pliku konfiguracyjnym:# chown 5 /usr/spool/smap/bad# chmod 700 /usr/spool/smap/bad6.Odszukaj w plikach startowych systemu wierszy, w których jest uruchamiany programsendmail z opcją -bd, a następnie usuń tę opcję.Ta zmiana uniemożliwi sendmailowinasłuchiwanie na porcie nr 25 przychodzących połączeń SMTP.Sam sendmail będzie działał nadal,podejmując okresowo próby dostarczania wszystkich wiadomości z kolejki pocztowej.W systemiemoże taki wiersz w ogóle nie występować - system może być skonfigurowany do uruchamianiasendmaila z demona inetd tylko w chwili otrzymywania poczty.Rozważmy na przykład taki plik konfiguracyjny:# Usuń śmieci z kolejki wiadomości wychodzących i uruchom demon sendrcail.# Zakłada się, że jest tu plik /usr/spool/mqueue, choć można to zmienić# w pliku konfiguracyjnym sendmaila.## Wszelkie wiadomości, które trafiają do kolejki i nie są dostarczane# ani natychmiast przekazywane dalej, będą rozpatrywane co godzinę [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl agnieszka90.opx.pl
.W tym rozdziale opisujemy:" Wrapper dla programu sendmail (smap/smapd), opracowany przez firmę Trusted InformationSystems (TIS)." Wrapper ogólnego stosowania (tcpwrapper) dla demonów UDP i TCP, opracowany przez WietseYenemę." Wrapper SOCKS, który umożliwia tunelowanie wychodzących połączeń TCP/IP przez zaporysieciowe, opracowany przez Davida i Michelle Koblas.W rozdziale umieszczamy również krótkie omówienie programu UDP Relayer, opracowanego przezToma Fitzgerałda.Ostatnia część rozdziału opisuje sytuacje, w których warto rozważyć możliwośćnapisania własnego wrappera.Wrapper dla programu sendmail (smap/smapd)Pakiet TIS Firewall Toolkit eliminuje wiele problemów bezpieczeństwa programu sendmail,trafiając w sedno sprawy, czyli rozdzielając połączenie sendmaila ze światem zewnętrznym.Zamiast używać jednego programu (sendmail) typu SUID nasłuchującego połączeń na porcie nr25, interpretującego wiele poleceń i dostarczającego pocztę do użytkowników, pakiet TISwykorzystuje dwa programy - jeden do odbierania poczty, drugi do jej dostarczania.Do czego służą programy smap i smapdProgramy wrappera sendmaila mają następujące funkcje:smapTen program odbiera wiadomości z sieci i zapisuje je w specjalnym katalogu do przyszłegowykorzystania.Choć program smap działa jako root, jest on wykonywany w specjalnym systemiechroot, z którego nie może zniszczyć systemu operacyjnego.Ten demon jest przeznaczony dowywoływania przez program intetd i kończenia działania po zakończeniu sesji dostarczaniapoczty.Program rejestruje wszystkie informacje z koperty SMTP.smapdTen program okresowo przegląda katalog, do którego smap dostarcza pocztę.Jeśli znajdziegotowe wiadomości, dostarcza je do plików odpowiednich użytkowników za pomocą programusendmail lub innego.Konfiguracja pakietu TIS Firewall Toolkit wraz z informacjami o uprawnieniach jest zapisana wjednym pliku - najczęściej /usr/local/etc/netperm-table.Oczywiście prawo do zapisu w tym plikupowinien mieć tylko superużytkownik.Aby uzyskać lepsze zabezpieczenie, należy ten plik ustawićw tryb 600.Jak uzyskać programy smap/smapd?Pakiet TIS Firewall Toolkit jest dostępny za pośrednictwem anonimowego FTP pod adresem ftp.tis.com.Instalowanie programów smap/smapdZainstalowanie kompletnego pakietu TIS Firewall Toolkit może być dość złożone.Na szczęścieprogramy opakowujące sendmaila można instalować niezależnie od całego pakietu.Wrappersendmaila może być używany do ochrony dowolnego komputera, w którym działa programsendmail, nawet jeśli komputer ten nie jest zaporą sieciową.Aby zainstalować wrapper sendmaila:1.Uzyskaj pakiet TIS Firewall Toolkit pod adresem ftp.tis.com.2.Przeczytaj dokumentację i skompiluj wrapper sendmaila.3.Zainstaluj plik konfiguracyjny netperm-table.Domyślne położenie tego pliku to/usr/local/etc/netperm-table.4.Zmień właściwości programów smap i smapd, podając identyfikator UID, pod którym ma byćuruchamiany smap, miejsce położenia programu sendmail oraz miejsce, do którego ma byćdostarczana poczta, jeśli z jakiegoś powodu nie może ona być dostarczona we właściwe miejsce.W tym przykładzie używamy identyfikatora UID równego 5, co według pliku /etc/passwdodpowiada użytkownikowi mail.Na przykład:smap, smapd: userid 5smap, smapd: directory /var/spool/smapsmapd: executable /usr/local/etc/smapdsmapd: sendmail /usr/1ib/sendmailsmapd: baddir /var/spool/smap/badsmap: timeout 36005.Utwórz katalog buforowy dla poczty (np./usr/spool/smap).Ustaw właściciela tego katalogu naużytkownika określonego w pliku konfiguracyjnym:# chown 5 /usr/spool/smap# chmod 700 /usr/spool/smapUtwórz również katalog na nieprawidłowe wiadomości pocztowe (np./usr/spo-ol/smap/bad).Ustaw właściciela katalogu na użytkownika określonego w pliku konfiguracyjnym:# chown 5 /usr/spool/smap/bad# chmod 700 /usr/spool/smap/bad6.Odszukaj w plikach startowych systemu wierszy, w których jest uruchamiany programsendmail z opcją -bd, a następnie usuń tę opcję.Ta zmiana uniemożliwi sendmailowinasłuchiwanie na porcie nr 25 przychodzących połączeń SMTP.Sam sendmail będzie działał nadal,podejmując okresowo próby dostarczania wszystkich wiadomości z kolejki pocztowej.W systemiemoże taki wiersz w ogóle nie występować - system może być skonfigurowany do uruchamianiasendmaila z demona inetd tylko w chwili otrzymywania poczty.Rozważmy na przykład taki plik konfiguracyjny:# Usuń śmieci z kolejki wiadomości wychodzących i uruchom demon sendrcail.# Zakłada się, że jest tu plik /usr/spool/mqueue, choć można to zmienić# w pliku konfiguracyjnym sendmaila.## Wszelkie wiadomości, które trafiają do kolejki i nie są dostarczane# ani natychmiast przekazywane dalej, będą rozpatrywane co godzinę [ Pobierz całość w formacie PDF ]