Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Поиск по сайту с помощью Yandex

Яndex
 

Защита Sendmail от DoS-атак и спама.

Понедельник, 5 октября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: |

Sendmail имеет несколько опций, которые дают возможность хоть как-то защититься от DoS-атаки. Эти опции должны быть определены в файле sendmail.mc:

    Define(confCONNECTION_RATE_THROTTLE',43')dnl - максимальное число соединений в секунду. Если частота превышена, дополнительные соединения будут поставлены в очередь (не отброшены).

    Define(confMAX_DAEMON_CHILDREN',40')dnl - максимальное число дочерних процессов sendmail. Если это число будет превышено, дополнительные соединения будут поставлены в очередь (не отброшены).

    Define(4configSIN_FREE_BLOCKS',100')dnl - если на диске осталось указанное количество блоков, сервер больше не будет принимать сообщения. По умолчанию - 100.

    Define(confMAX HEADERS LENGTH', 4024')dnl - максимальный размер заголовка входящего сообщения, в байтах.

    Define(confMAX_MESSAGE_SIZE',4194304')dnl - максимальный размер тела входящего сообщения. Значение по умолчанию равно 4 Мб (4 194 302 байта). Не нужно устанавливать слишком маленькое значение, так как оно может быть легко превышено вложениями (attachments).

Далее...

Немного о Sendmail.

Пятница, 2 октября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: |

Sendmail представляется наиболее часто применяемым МТА в Интернете - он установлен на 40% почтовых серверов, он входит в состав всех дистрибутивов Linux и в большинстве случаев ставится по умолчанию. Однако у Sendmail не самая хорошая репутация в плане безопасности. Частично виной тому возраст Sendmail - Sendmail разрабатывался еще в те времена, когда о безопасности никто не задумывался. Не надо считать, что Sendmail «древнее» приложение - оно регулярно обновляется, просто трудно нарастить мясо, когда кости плохие - это я о безопасности, фундамент которой очень слаб.

     К тому же Sendmail достаточно сложно конфигурируется - разобраться в файле конфигурации изрядно сложно, а программы-конфигураторы, упрощающие этот процесс, напрочь забывают о безопасности. Следующая причина - это то, что Sendmail'y можно запускаться от имени root, что делает уязвимости в данной программе очень серьезными - в случае взлома Sendmail крекер получит права root. Запускать Sendmail в chroot-окружении также нет смысла, так как с правами root очень легко из него выбраться.

Далее...

Почтовые сервисы.

Вторник, 22 сентября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | |

Для защиты почтовых сервисов надо понимать, для чего применяется тот или иной субъект системы электронной почты.

     Агент передачи почты (Mail Transfer Agent, MTA) - программа, передающая почту с одной машины на другую. Наиболее известным МТА представляется, конечно, же Sendmail. MTA - это боец невидимого фронта - очень часто пользователь даже и не подозревает о его существовании. Для чтения и отправки e-mail пользователи используют Почтовый Пользовательский Агент (Mail User Agent, MUA). Примеры MUA: Mutt, Pine, Kmail, Evolution.

Далее...

Разделение функций сервера имен.

Пятница, 18 сентября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | |

Сервер имен выполняет две роли: разрешает запросы клиентов и выступает в роли авторитетного сервера для какой-то зоны. Представим, что у нас есть средняя компания. Имеется домен www.test.net. Целесообразно разделить функции серверов имен.

     Один сервер имен будет находиться во внутренней сети и разрешать запросы клиентов - это будет сервер для внутреннего употребления. Второй сервер будет авторитетным для зоны - он будет отвечать на запросы интернет-пользователей для этой зоны. Месторасположение данного сервера - нейтральная зона (DMZ).

Далее...

DNSSEC: служба безопасности DNS.

Понедельник, 14 сентября 2009 г.
Рубрика: Безопасность -> Защита сервисов
Метки: | |

Так как TSIG-ключи можно добавить в конфигурационный файл каждой машины, их употребление не очень практично. Во-первых, когда имеется много серверов имен, то при изменении ключей придется проделать много действий. А во-вторых, если крекер получит доступ к серверу имен, он получит и TSIG-ключи, что позволит ему отправлять подделанные сообщения другим серверам от имени этого сервера.

     DNSSEC (DNS Security Extensions) - набор расширений протокола DNS, использующий РКС и цифровые подписи для осуществления безопасных транзакций между серверами и клиентами (или между серверами и серверами). Подробное описание DNSSEC можно найти в RFC 2535. Рассмотрим, как надо реализовать эту систему в DNS.

     Технология DNSSEC - это не абсолютно новая концепция, ей уже несколько лет, и ее уже успели опробовать.

Далее...