Антивирусы, почта и *nix
Модераторы: Trinity admin`s, Free-lance moderator`s
Антивирусы, почта и *nix
Хочу для себя выяснить, что лучше ставить на почтовый сеpвер под BSD - postfix или qmail и какой антивирь лучше к нему прикрутить. У кого какой опыт ( мнение ), на сей счет?
С уважением, Tuxer
безусловно надёжно - именно потому что пытливые умы эти самые уязвимости и выискивают и предупреждают о существовании потенциальных уязвимостей, за пол года - год до того как в массу идут эксплоиты.Tuxer писал(а):Я наблюдаю в инете много / часто инф., о найденых новых уязвимостях в сендмыле, тогда это разве безопасно / надежно?
А вообще рабочий день нормального администратора начинается с прочтения новостей на сайте безопасности типа http://www.securityfocus.com/
А по моему вы пытаетесь недостаток за достоинство выдать.setar писал(а):безусловно надёжно - именно потому что пытливые умы эти самые уязвимости и выискивают и предупреждают о существовании потенциальных уязвимостей, за пол года - год до того как в массу идут эксплоиты.Tuxer писал(а):Я наблюдаю в инете много / часто инф., о найденых новых уязвимостях в сендмыле, тогда это разве безопасно / надежно?
А вообще рабочий день нормального администратора начинается с прочтения новостей на сайте безопасности типа http://www.securityfocus.com/
Лично я сомневаюсь что у админа больше нет с утра дел, как читать securityfocus. То есть один только список known bugs на сендмайл (при его вдобавок принципиальной ломоопасности) повергает в тяжкие думы.
Настолько-же убедительнее на этом фоне смотрится какой-нибудь postfix...
В тяжкие думы повергает только тех кто не представляет что такое дырка в программе и как этой дыркой можно воспользоваться. Точнее какое стечение опций настройки должно быть чтобы взлом мог иметь место.romx писал(а):А по моему вы пытаетесь недостаток за достоинство выдать.
Лично я сомневаюсь что у админа больше нет с утра дел, как читать securityfocus. То есть один только список known bugs на сендмайл (при его вдобавок принципиальной ломоопасности) повергает в тяжкие думы.
Настолько-же убедительнее на этом фоне смотрится какой-нибудь postfix...
Правильный админ должен знать КАК его могут ломануть, то есть иметь элементарные, а лучще продвинутые навыки хакера!
Нормальный админ только и делает что просматривает логи и ньюсы,
и кроме периодического накладывания патчей работы у него обычно не бывает (по крайней мере у хорошего админа).
А дырок в том же postfixe не меньше - его просто меньше профессионалов используют, соответственно меньше анализируют код.
то есть принципиальный запуск сендмайла из под рута и все последующие с этим уязвимости с безопасностью для вас не проблема?setar писал(а):В тяжкие думы повергает только тех кто не представляет что такое дырка в программе и как этой дыркой можно воспользоваться. Точнее какое стечение опций настройки должно быть чтобы взлом мог иметь место.
Это замечательно, но к сожалению на каждый продаваемый сервер Trinity не сможет клонировать по экземпляру setar для сопровождения.
Правильному админу рано или поздно приходит в голову, что исправлять за счет своего рабочего времени изъяны программ не самая разумная его трата. Что программа должна работать, а человек думать. И если есть возможность выбрать между двумя функционально подобными программами, но одной более уязвимой, а другой - менее, он выбирает менее.Правильный админ должен знать КАК его могут ломануть, то есть иметь элементарные, а лучще продвинутые навыки хакера!
Потому что в жизни кроме компьютеров бывает еще отпуска, выходные и семья.
Не спорю, осознание этого приходит не сразу
Админ это не Human Interface к серверу. Это самостоятельное устройство. Одной из задач которого является сделать так, чтобы потребость в нем со стороны сервера была минимальной.Нормальный админ только и делает что просматривает логи и ньюсы,
и кроме периодического накладывания патчей работы у него обычно не бывает (по крайней мере у хорошего админа).
И уж по крайней мере точно избавиться от ежеутреннего латания дыр.
Вернемся к нашим сендмайлам.
Я могу понять применение сендмайла вместо более современных решений в случае legacy solution, когда cf написан два десятка лет назад неизвестным гером умственного труда и не один десяток чертей сломали там ноги в попытке его разобрать. Который "работает и не трогай".
Но слава богу на дворе уже 21 век и ковырять абсолютно не human-friendly текстовый конфиг это уже даже не анахронизм, это другими словами называется.
http://www.securityfocus.com/search Search area [Vuln]А дырок в том же postfixe не меньше - его просто меньше профессионалов используют, соответственно меньше анализируют код.
sendmail Matching records:42
qmail Matching records:5
postfix Matching records:7
Скажу что единственная реально опасная дыра в sendmail была устранена почти 8 лет назад.
Спорить не буду - пустая трата времени
Для себя Вы можете использовать даже продукты от сторонних производителей с закрытым кодом
Если кому будет полезно готов поделиться грамотно написаным конфигом .mc ( ручками .cf никто не правит)
Спорить не буду - пустая трата времени
Для себя Вы можете использовать даже продукты от сторонних производителей с закрытым кодом
Если кому будет полезно готов поделиться грамотно написаным конфигом .mc ( ручками .cf никто не правит)
http://www.ru.qmail.org/setar писал(а):Скажу что единственная реально опасная дыра в sendmail была устранена почти 8 лет назад.
"Безопасность транспортного агента - не самоцель, но абсолютное требование и qmail полному праву претендует на статус безопасной системы. Несколько лет назад был установлен призовой фонд в $1000 для того, кто сможет опровергнуть подобное заявление."
Пусть и бравада, но внушает. Да и деньги пока еще никому не выплачены...
Использовать следует то, что лучше знаешь.Для себя Вы можете использовать даже продукты от сторонних производителей с закрытым кодом
Умелый винадмин сделает устойчивую win-систему и дырявый как дуршлаг какой-нибудь люникс. Равно как и наоборот. Не так-ли?
А вот тут абсолютно согласенromx писал(а):http://www.ru.qmail.org/
"Безопасность транспортного агента - не самоцель, но абсолютное требование и qmail полному праву претендует на статус безопасной системы. Несколько лет назад был установлен призовой фонд в $1000 для того, кто сможет опровергнуть подобное заявление."
Пусть и бравада, но внушает. Да и деньги пока еще никому не выплачены...
Использовать следует то, что лучше знаешь.
Умелый винадмин сделает устойчивую win-систему и дырявый как дуршлаг какой-нибудь люникс. Равно как и наоборот. Не так-ли?
sendmail
про дырочки сендмыла:
http://www.securitylab.ru/?ID=40306
____________
про securityfocus
дЫрки сендмыла, указанные там - не более чем на 60% дырки собственно сендмыла, но, в силу его монструзности и супер конфигурабельности, они почти никогда не эксплуатировались в боевых условиях.
Тем не менее - программа работающая от рута это устаревший подход.
Тот факт, что его конфигурационный файл правится внешними средствами, отличными от текстового редактора имеет ближайшим аналогом window и regedit -)). Идея может и была хороша, но её смысл потерялся.
дЫрки qmail, указанные там же - это НЕ дырки qmail, а (4шт) дырки сторонних программ, которые можно(а можно и не) использовать с кумылом. 5-я дырка касается очень древней версии кумыла.
дЫрки postfix - 4 из 7 указанных это дырки постфикса, остальные - глупые настройки и просто внешние приблуды.
____________
и кумыл и постфикс - это набор маленьких программулин, которые работают под разными UID (не root) и защищены даже друг от друга.
________________
QMAIL
Qmail давно уже перестал развиваться автором и, в силу его требований к распространению кода неизменным может быть видоизменен патчами. Коих очень много и на все случаи жизни.
Для обычной работы ни один из них (кроме м.б. big-DNS) НЕ необходим. Да и без того я год обходился и ничего не заметил.
(+)К кумылу сеть чудесные средства управления и www интерфейсы почты в виде plain C CGI. (www.inter7.com) Никаких PHP, понимаешь...
(-)слабое место - нет готового out of box решенеия для борьбы со
спамом
(+) есть отличный форум www.ru.qmail.org на котором тусуются люди, которые это дело сильно развивают.
________________
POSTFIX
постфикс, в отличие от кумыла развивается. Сейчас он хорошо заточен для борьбы со спамом, к нему легко пристегиваются разные внешние решения.
(-) IMHO, нет приемлемых средств управления в виде plain C CGI
________________
и тот и другой, IMHO, одинаково хороши.
Оба отлично работают с Drweb, который есть отличный антивирус и, даже в виде триала ловит вирусы (только не лечит).
Оба привинчиваются к LDAP, в силу чего подходят для масштабных серверов, базам данных и к чему душа пожелает.
Тот факт, что на qmail _очень_долго работал hotmail, о многом говорит. Затем некоторе время он был прикрыт снаружи WINNT и притворялся IIS+Exchange.
Только после введения w2k, после долгих падений hotmail стал виндовым. Либо он очень хорошо замаскирован по сейчас -))
однако современные сервис провайдеры выбирают либо POSTFIX, либо коммерческий CGP, на который можно обратить внимание и небогатой фирме, поскольку он в демоверсии имеет полную функциональность, только добавляет рекламу к сообщениям...
http://www.securitylab.ru/?ID=40306
____________
про securityfocus
дЫрки сендмыла, указанные там - не более чем на 60% дырки собственно сендмыла, но, в силу его монструзности и супер конфигурабельности, они почти никогда не эксплуатировались в боевых условиях.
Тем не менее - программа работающая от рута это устаревший подход.
Тот факт, что его конфигурационный файл правится внешними средствами, отличными от текстового редактора имеет ближайшим аналогом window и regedit -)). Идея может и была хороша, но её смысл потерялся.
дЫрки qmail, указанные там же - это НЕ дырки qmail, а (4шт) дырки сторонних программ, которые можно(а можно и не) использовать с кумылом. 5-я дырка касается очень древней версии кумыла.
дЫрки postfix - 4 из 7 указанных это дырки постфикса, остальные - глупые настройки и просто внешние приблуды.
____________
и кумыл и постфикс - это набор маленьких программулин, которые работают под разными UID (не root) и защищены даже друг от друга.
________________
QMAIL
Qmail давно уже перестал развиваться автором и, в силу его требований к распространению кода неизменным может быть видоизменен патчами. Коих очень много и на все случаи жизни.
Для обычной работы ни один из них (кроме м.б. big-DNS) НЕ необходим. Да и без того я год обходился и ничего не заметил.
(+)К кумылу сеть чудесные средства управления и www интерфейсы почты в виде plain C CGI. (www.inter7.com) Никаких PHP, понимаешь...
(-)слабое место - нет готового out of box решенеия для борьбы со
спамом
(+) есть отличный форум www.ru.qmail.org на котором тусуются люди, которые это дело сильно развивают.
________________
POSTFIX
постфикс, в отличие от кумыла развивается. Сейчас он хорошо заточен для борьбы со спамом, к нему легко пристегиваются разные внешние решения.
(-) IMHO, нет приемлемых средств управления в виде plain C CGI
________________
и тот и другой, IMHO, одинаково хороши.
Оба отлично работают с Drweb, который есть отличный антивирус и, даже в виде триала ловит вирусы (только не лечит).
Оба привинчиваются к LDAP, в силу чего подходят для масштабных серверов, базам данных и к чему душа пожелает.
Тот факт, что на qmail _очень_долго работал hotmail, о многом говорит. Затем некоторе время он был прикрыт снаружи WINNT и притворялся IIS+Exchange.
Только после введения w2k, после долгих падений hotmail стал виндовым. Либо он очень хорошо замаскирован по сейчас -))
однако современные сервис провайдеры выбирают либо POSTFIX, либо коммерческий CGP, на который можно обратить внимание и небогатой фирме, поскольку он в демоверсии имеет полную функциональность, только добавляет рекламу к сообщениям...
Re: sendmail
от рута ? а Вы когда последний раз настраивали sedmail ???art писал(а):дЫрки сендмыла, указанные там - не более чем на 60% дырки собственно сендмыла, но, в силу его монструзности и супер конфигурабельности, они почти никогда не эксплуатировались в боевых условиях.
Тем не менее - программа работающая от рута это устаревший подход.
то что конфиги горе админы открывают для правки левыми программами не есть дыры sendmail - а лишь кривые руки админовТот факт, что его конфигурационный файл правится внешними средствами, отличными от текстового редактора имеет ближайшим аналогом window и regedit -)). Идея может и была хороша, но её смысл потерялся.
...
Да и собственно чего я спорю то
Я лишь хочу сказать что в кривых руках даже самая суперская программа встанет раком.
Последний раз редактировалось setar 18 сен 2003, 19:51, всего редактировалось 1 раз.
Re: sendmail
в 1999г. , если сейчас не так, то прощенья просим.от рута ? а Вы когда последний раз настраивали sedmail ???
так зачем же все таки нужен такой способ конфигурирования?то что конфиги горе админы открывают для правки левыми программами не есть дыры sendmail - а лишь кривые руки админов
"мой дед и прадед так делали и я буду делать?"
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 5 гостей