Linux глазами хакера
Шрифт:
Рис. 8.4. Окно настроек аккаунта Local Mailbox
Здесь необходимо заполнить следующие поля:
□ Name — имя записи, может быть любым;
□ Location — расположение локального ящика. По умолчанию все ящики хранятся в директории /var/spool/mail/имя, где имя — это имя пользователя. Для администратора root размещение будет /var/spool/mail/root.
Остальные
Попробуйте прочитать почту разными протоколами. Убедитесь, что сообщения приходят на ваш почтовый ящик и доходят до получателя. Даже с настройками по умолчанию все должно работать верно. В дальнейшем мы рассмотрим некоторые специфичные настройки, которые помогут сделать ваш почтовый сервер более безопасным, но прежде чем приступать к улучшениям, нам нужно удостовериться, что работает базовый вариант.
8.2.1. Безопасность сообщений
E-mail-сообщения пересылаются по сети в виде чистого текста. Если злоумышленник перехватит такое сообщение, то без проблем сможет его прочитать. При передаче конфиденциальной информации необходимо использовать шифрование.
Наиболее распространенными методами шифрования на данный момент являются:
□ S/MIME (Secure/Multipurpose Internet Mail Extensions, безопасные многоцелевые расширения электронной почты в сети Интернет) — этот стандарт шифрования поддерживается в основном почтовыми клиентами Netscape и его клонами. Это накладывает некоторые ограничения, ведь не все пользователи привыкли пользоваться именно этими программами;
□ PGP — программа шифрования, используется во многих областях, в том числе и в почтовых сообщениях. Этот стандарт поддерживает большое количество почтовых клиентов. Существует несколько реализаций PGP, но многие специалисты рекомендуют использовать программу GnuPG. Нет, она не лучше других, потому что все PGP-клоны используют один и тот же принцип. Просто GnuPG разработана за пределами США, где уже не действует закон об ограничении длины ключа.
Таким образом, мы шифруем текст сообщения. Но сам протокол работает без шифрования, поэтому все пароли передаются по сети в чистом виде, и их тоже необходимо защитить. Для этого можно использовать один из современных стандартов RFC 1734 (MD5 APOP Challenge/Response), RFC 2095 (MD5 CRAM-HMAC Challenge/Response) или прибегнуть к помощи stunnel.
8.3. Полезные команды
Давайте рассмотрим некоторые команды, которые помогут вам в администрировании sendmail-сервера:
□
□
Из
□
□
8.4. Безопасность sendmail
Безопасность сервиса sendmail далека от идеала, и в нем регулярно находят ошибки. По этому поводу администраторы и программисты начали слагать анекдоты и превратили сервис в объект насмехательств. Я слышал, что некоторые даже делали ставки на то, будет найдена ошибка в этом месяце или нет.
Как я и обещал, в данном разделе мы поговорим о некоторых параметрах, повышающих безопасность.
8.4.1. Баннер-болтун
Проблема безопасности начинается еще на этапе подключения. Сервис sendmail, как и большинство других служб, выдает строку приветствия, в которой содержится информация об имени и версии программы.
Хакер не должен знать об этих данных. Для этого необходимо изменить параметр
Самое опасное здесь — это ключ
Теперь значение этому параметру присваивается следующим образом:
Если в вашей системе отображается что-то лишнее, то это необходимо убрать. Можно даже поставить сообщение другого сервиса:
Любая удачная попытка ввести хакера в заблуждение — это выигрыш во времени, что равносильно маленькой победе.
8.4.2. Только отправка почты
Очень часто почтовые сервисы используют только для отправки почты. Например, на Web-серверах sendmail может стоять для того, чтобы прямо из сценариев на Perl или PHP можно было отсылать письмо. Если ваш сервер не будет принимать писем, то необходимо запретить этот режим. Для этого откройте файл /etc/sysconfig/sendmail и измените его содержимое:
Вторая строка задает параметры, которые будут передаваться программе sendmail при запуске. Чтобы возобновить прием почты, измените значение на