Sendmail的安全篇之Smrsh

Sendmail的安全篇之Smrsh

Sendmail是最重要的邮件传输代理程序。那Sendmail的安全靠什么，靠Smrsh。

设置Sendmail使用"smrsh"

smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具，它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候，smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。

第一步：

决定smrsh可以允许sendmail运行的命令列表。缺省情况下应当包含以下命令，但不局限于这些命令：

"/bin/mail" (如果在你的系统中安装了的话)

"/usr/bin/procmail" (如果在你的系统中安装了的话)

注意：不可在命令列表里包括命令解释程序，例如sh(1)，csh(1)，perl(1)，uudecode(1)及流编辑器sed(1)。

第二步：

在"/etc/smrsh"目录中创建允许sendmail运行的程序的符号连接。

使用以下命令允许mail程序"/bin/mail"运行：

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /bin/mail mail

用以下命令允许procmail程序"/usr/bin/procmail"运行：

[root@deep]# cd /etc/smrsh

[root@deep]# ln -s /usr/bin/procmail procmail

这将允许位于".forward"和"aliases"中的用户采用"|program"语法来运行mail及procmail程序。

第三步

配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。

编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并改动下面这一行：

例如：

Mprog, P=/bin/sh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

应该被改为：

Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9, S=10/30, R=20/40, D=$z:/, T=X-Unix, A=sh -c $u

现在用以下命令手工重起sendmail进程：

[root@deep]# /etc/rc.d/init.d/sendmail restart

通过文章，我们可以大概知道其实Sendmail的安全性不能忽视，而且使用Smrsh会帮助你加强Sendmail的安全性。

• 如何在Sendmail里设置虚拟域
• Sendmail简单介绍
• 图文并茂 讲解Sendmail工作环境
• 深入了解 Linux下安装DNS+Sendmail服务
• 如何在Linux下安装Sendmail服务器
• Linux Sendmail配置攻略
• sendmail启动慢的解决办法