센드 메일 보안설정하기.
O PrivacyOptions에
goaway => SMTP에서 EXPN, VRFY명령어를 사용하는 스패머를 막기위해 사용.
SMTP에서 VERB 명령어 거절.
restrictmailq => mailq 명령어를 사용하여 queue's contents실행 막기
1) chmod 0700 /var/spool/mqueue
2) PrivacyOtions에 restrictmailq추가.
restrictqrun => sendmail -q 사용을 제한.(root 및 queue소유자만 접근가능)
ex) PrivacyOptions=authwarnings,goaway,restrictmailq,restrictqrun
SMTP greeting messages
O SmtpGreetingMessages=$j Sendmail $v/$Z;$b는
sendmail에 해당하는 버전 및 날짜/시간대 표시
------------------------------------------------
telnet mailserver 25
220 mailserver.xxxx.net ESMTP Sendmail 8.11.6/8.11.6;
Fri, 6 Sep 2003 11:06:25 +0900
------------------------------------------------
Linux는 chattr를 사용하여 중요한 파일에 접근 제한.
sendmail.cf, local-host-names, access, etc등...
chattr +i sendmail.cf
aliases파일에 쓸데없는 aliases삭제하기.
uucp, nuucp, listen, www 등등.
smrsh사용하기.
The Sendmail restricted shell(smrsh)
sendmail은 프로그램 mailer에서 /bin/sh를 사용하는데, 이설정은
외부로부터 공격에 노출될 경우...여러 다른프로그램을 실행시킬수 있게
하는 취약점이 있고,,이것을 대치하는것이 smrsh이다.
smrsh는 sendmail에서 실행시킬수 있는 프로그램을 제한해 /etc/smarsh에
있는 프로그램만 실행시킬수 있게하는 shell이다.
예를 들어...우리가 사용하고 있는 mail, procmail등을 smrsh를 사용해서
적용할수 있는데..사용법은 어렵지 않다.
cd /etc/smrsh로 이동
ln -s /usr/bin/procmail procmail
ln -s /bin/mail mail
이런식으로 /etc/smrsh로 링크만 시켜주면 된다.
수정해야 할 부분은 sendmail.cf에서
Mprog, P=/bin/sh => P=/usr/sbin/smrsh로 변경.
*)mailq, praliases, sendmail, newaliases, mailstats, makemap
파일은 일반 유저가 실행할수 없게 해야 하며,
특정한 그룹을 줘서 그룹에 속한 유저만 실행시킬수 있게 해야함.
O PrivacyOptions에
goaway => SMTP에서 EXPN, VRFY명령어를 사용하는 스패머를 막기위해 사용.
SMTP에서 VERB 명령어 거절.
restrictmailq => mailq 명령어를 사용하여 queue's contents실행 막기
1) chmod 0700 /var/spool/mqueue
2) PrivacyOtions에 restrictmailq추가.
restrictqrun => sendmail -q 사용을 제한.(root 및 queue소유자만 접근가능)
ex) PrivacyOptions=authwarnings,goaway,restrictmailq,restrictqrun
SMTP greeting messages
O SmtpGreetingMessages=$j Sendmail $v/$Z;$b는
sendmail에 해당하는 버전 및 날짜/시간대 표시
------------------------------------------------
telnet mailserver 25
220 mailserver.xxxx.net ESMTP Sendmail 8.11.6/8.11.6;
Fri, 6 Sep 2003 11:06:25 +0900
------------------------------------------------
Linux는 chattr를 사용하여 중요한 파일에 접근 제한.
sendmail.cf, local-host-names, access, etc등...
chattr +i sendmail.cf
aliases파일에 쓸데없는 aliases삭제하기.
uucp, nuucp, listen, www 등등.
smrsh사용하기.
The Sendmail restricted shell(smrsh)
sendmail은 프로그램 mailer에서 /bin/sh를 사용하는데, 이설정은
외부로부터 공격에 노출될 경우...여러 다른프로그램을 실행시킬수 있게
하는 취약점이 있고,,이것을 대치하는것이 smrsh이다.
smrsh는 sendmail에서 실행시킬수 있는 프로그램을 제한해 /etc/smarsh에
있는 프로그램만 실행시킬수 있게하는 shell이다.
예를 들어...우리가 사용하고 있는 mail, procmail등을 smrsh를 사용해서
적용할수 있는데..사용법은 어렵지 않다.
cd /etc/smrsh로 이동
ln -s /usr/bin/procmail procmail
ln -s /bin/mail mail
이런식으로 /etc/smrsh로 링크만 시켜주면 된다.
수정해야 할 부분은 sendmail.cf에서
Mprog, P=/bin/sh => P=/usr/sbin/smrsh로 변경.
*)mailq, praliases, sendmail, newaliases, mailstats, makemap
파일은 일반 유저가 실행할수 없게 해야 하며,
특정한 그룹을 줘서 그룹에 속한 유저만 실행시킬수 있게 해야함.