BBS水木清华站∶精华区

发信人: SoC.bbs@bbs.cs.nthu.edu.tw (牵线人), 看板: Plan 
标  题: Re: 谈谈系统安全 
发信站: 清华资讯系学会(枫桥驿站) (Thu Sep  5 23:52:25 1996) 
转信站: sob!news.cs.nthu!maple 
 
前面谈了先确定系统上的程式来源 "无误" 後, 
接下来就要开使 "攘外安内" 了. 
 
先谈 "攘外" 的部份好了. 
 
电子邮件, 这确时是很方便的环境, 真的是很 "方便", 
对许多 hacker 而言, 往往是透过 email 就可以决胜千 
里之外. 
 
Sendmail 在 hacker 史上占有相当的地位, 往往是 
hacker 们的最爱, 因为不需 local account 就可以取 
得相当的讯息, 各种千奇百怪的方法都有, 甚至有不少 
连 crack 用的 "□例" 在网路上都找的到 (如: 8lgm), 
因此巩固 sendmail 的安全性变得十分重要. 
 
以目前 SunOS (4.1.4 ,最好换成这个版本, 比 4.1.3_U1 
又少了许多 hole) 而言, 最起码要做的是 patch sendmail 
(102423-04) 和 libc (102545-04) (这个 fix syslog hole), 
当然, 弟建议装 ucb-sendmail 8.7.5 (8.7.3 (含)之前的 
(8.6.x) 都有 hole), 然後加装 procmail 取代 /bin/mail 
做为 local mailer, 之後 chmod u-s /bin/mail , 如此 
可减少一些 sendmail 可能带来的 "特殊效果". 
 
另外, 值得一提的是 prog mailer (/bin/sh), 这个处理 
..forward 会用到, 也是一个问题点, 可以换装 smsh. 如 
果是纯 BBS 的机器, 可以改写 sendmail.cf 来避开使用 
 .forward , 那 /bin/sh 就可以不用了. 
 
Summary: 换 sendmail-8.7.5 (或更新的版本) 
         用 procmail 取代 /bin/mail 
         必要时加装 smsh 
 
待续... 
-- 
※ Origin: 枫桥驿站(bbs.cs.nthu.edu.tw) ◆ From: alpha4 

BBS水木清华站∶精华区