Антивирусы, почта и *nix

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Tuxer
Junior member
Сообщения: 7
Зарегистрирован: 08 сен 2003, 22:03
Откуда: Spb

Антивирусы, почта и *nix

Сообщение Tuxer » 08 сен 2003, 22:12

Хочу для себя выяснить, что лучше ставить на почтовый сеpвер под BSD - postfix или qmail и какой антивирь лучше к нему прикрутить. У кого какой опыт ( мнение ), на сей счет?
С уважением, Tuxer

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 08 сен 2003, 22:28

ИМНО Sendmail самая рульная вещь но настроить грамотно сложно.
Антивирусом к ниму Drweb юзаю - классно, только во freeware режиме пакованые архивы не глядит, думаю лицензию прикупить.

Tuxer
Junior member
Сообщения: 7
Зарегистрирован: 08 сен 2003, 22:03
Откуда: Spb

Сообщение Tuxer » 08 сен 2003, 23:13

Я наблюдаю в инете много / часто инф., о найденых новых уязвимостях в сендмыле, тогда это разве безопасно / надежно?
С уважением, Tuxer

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 08 сен 2003, 23:17

Tuxer писал(а):Я наблюдаю в инете много / часто инф., о найденых новых уязвимостях в сендмыле, тогда это разве безопасно / надежно?
безусловно надёжно - именно потому что пытливые умы эти самые уязвимости и выискивают и предупреждают о существовании потенциальных уязвимостей, за пол года - год до того как в массу идут эксплоиты.

А вообще рабочий день нормального администратора начинается с прочтения новостей на сайте безопасности типа http://www.securityfocus.com/

romx
member
Сообщения: 29
Зарегистрирован: 11 сен 2003, 00:33
Контактная информация:

Сообщение romx » 11 сен 2003, 00:38

setar писал(а):
Tuxer писал(а):Я наблюдаю в инете много / часто инф., о найденых новых уязвимостях в сендмыле, тогда это разве безопасно / надежно?
безусловно надёжно - именно потому что пытливые умы эти самые уязвимости и выискивают и предупреждают о существовании потенциальных уязвимостей, за пол года - год до того как в массу идут эксплоиты.

А вообще рабочий день нормального администратора начинается с прочтения новостей на сайте безопасности типа http://www.securityfocus.com/
А по моему вы пытаетесь недостаток за достоинство выдать.
Лично я сомневаюсь что у админа больше нет с утра дел, как читать securityfocus. :( То есть один только список known bugs на сендмайл (при его вдобавок принципиальной ломоопасности) повергает в тяжкие думы.
Настолько-же убедительнее на этом фоне смотрится какой-нибудь postfix...

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 11 сен 2003, 00:47

romx писал(а):А по моему вы пытаетесь недостаток за достоинство выдать.
Лично я сомневаюсь что у админа больше нет с утра дел, как читать securityfocus. :( То есть один только список known bugs на сендмайл (при его вдобавок принципиальной ломоопасности) повергает в тяжкие думы.
Настолько-же убедительнее на этом фоне смотрится какой-нибудь postfix...
В тяжкие думы повергает только тех кто не представляет что такое дырка в программе и как этой дыркой можно воспользоваться. Точнее какое стечение опций настройки должно быть чтобы взлом мог иметь место.

Правильный админ должен знать КАК его могут ломануть, то есть иметь элементарные, а лучще продвинутые навыки хакера!

Нормальный админ только и делает что просматривает логи и ньюсы,
и кроме периодического накладывания патчей работы у него обычно не бывает (по крайней мере у хорошего админа).

А дырок в том же postfixe не меньше - его просто меньше профессионалов используют, соответственно меньше анализируют код.

romx
member
Сообщения: 29
Зарегистрирован: 11 сен 2003, 00:33
Контактная информация:

Сообщение romx » 11 сен 2003, 01:46

setar писал(а):В тяжкие думы повергает только тех кто не представляет что такое дырка в программе и как этой дыркой можно воспользоваться. Точнее какое стечение опций настройки должно быть чтобы взлом мог иметь место.
то есть принципиальный запуск сендмайла из под рута и все последующие с этим уязвимости с безопасностью для вас не проблема?
Это замечательно, но к сожалению на каждый продаваемый сервер Trinity не сможет клонировать по экземпляру setar для сопровождения. ;)
Правильный админ должен знать КАК его могут ломануть, то есть иметь элементарные, а лучще продвинутые навыки хакера!
Правильному админу рано или поздно приходит в голову, что исправлять за счет своего рабочего времени изъяны программ не самая разумная его трата. Что программа должна работать, а человек думать. И если есть возможность выбрать между двумя функционально подобными программами, но одной более уязвимой, а другой - менее, он выбирает менее.
Потому что в жизни кроме компьютеров бывает еще отпуска, выходные и семья.
Не спорю, осознание этого приходит не сразу ;)
Нормальный админ только и делает что просматривает логи и ньюсы,
и кроме периодического накладывания патчей работы у него обычно не бывает (по крайней мере у хорошего админа).
Админ это не Human Interface к серверу. :) Это самостоятельное устройство. ;) Одной из задач которого является сделать так, чтобы потребость в нем со стороны сервера была минимальной.
И уж по крайней мере точно избавиться от ежеутреннего латания дыр.

Вернемся к нашим сендмайлам.
Я могу понять применение сендмайла вместо более современных решений в случае legacy solution, когда cf написан два десятка лет назад неизвестным гером умственного труда и не один десяток чертей сломали там ноги в попытке его разобрать. Который "работает и не трогай".
Но слава богу на дворе уже 21 век и ковырять абсолютно не human-friendly текстовый конфиг это уже даже не анахронизм, это другими словами называется. :)
А дырок в том же postfixe не меньше - его просто меньше профессионалов используют, соответственно меньше анализируют код.
http://www.securityfocus.com/search Search area [Vuln]
sendmail Matching records:42
qmail Matching records:5
postfix Matching records:7

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 11 сен 2003, 01:54

Скажу что единственная реально опасная дыра в sendmail была устранена почти 8 лет назад.
Спорить не буду - пустая трата времени :bye:
Для себя Вы можете использовать даже продукты от сторонних производителей с закрытым кодом :)

Если кому будет полезно готов поделиться грамотно написаным конфигом .mc ( :wink: ручками .cf никто не правит)

romx
member
Сообщения: 29
Зарегистрирован: 11 сен 2003, 00:33
Контактная информация:

Сообщение romx » 11 сен 2003, 02:05

setar писал(а):Скажу что единственная реально опасная дыра в sendmail была устранена почти 8 лет назад.
http://www.ru.qmail.org/
"Безопасность транспортного агента - не самоцель, но абсолютное требование и qmail полному праву претендует на статус безопасной системы. Несколько лет назад был установлен призовой фонд в $1000 для того, кто сможет опровергнуть подобное заявление."

Пусть и бравада, но внушает. Да и деньги пока еще никому не выплачены...
Для себя Вы можете использовать даже продукты от сторонних производителей с закрытым кодом :)
Использовать следует то, что лучше знаешь.
Умелый винадмин сделает устойчивую win-систему и дырявый как дуршлаг какой-нибудь люникс. Равно как и наоборот. Не так-ли?

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 11 сен 2003, 02:09

romx писал(а):http://www.ru.qmail.org/
"Безопасность транспортного агента - не самоцель, но абсолютное требование и qmail полному праву претендует на статус безопасной системы. Несколько лет назад был установлен призовой фонд в $1000 для того, кто сможет опровергнуть подобное заявление."

Пусть и бравада, но внушает. Да и деньги пока еще никому не выплачены...

Использовать следует то, что лучше знаешь.
Умелый винадмин сделает устойчивую win-систему и дырявый как дуршлаг какой-нибудь люникс. Равно как и наоборот. Не так-ли?
:beer: А вот тут абсолютно согласен

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

sendmail

Сообщение art » 18 сен 2003, 06:43

про дырочки сендмыла:
http://www.securitylab.ru/?ID=40306
____________
про securityfocus

дЫрки сендмыла, указанные там - не более чем на 60% дырки собственно сендмыла, но, в силу его монструзности и супер конфигурабельности, они почти никогда не эксплуатировались в боевых условиях.
Тем не менее - программа работающая от рута это устаревший подход.

Тот факт, что его конфигурационный файл правится внешними средствами, отличными от текстового редактора имеет ближайшим аналогом window и regedit -)). Идея может и была хороша, но её смысл потерялся.

дЫрки qmail, указанные там же - это НЕ дырки qmail, а (4шт) дырки сторонних программ, которые можно(а можно и не) использовать с кумылом. 5-я дырка касается очень древней версии кумыла.

дЫрки postfix - 4 из 7 указанных это дырки постфикса, остальные - глупые настройки и просто внешние приблуды.
____________

и кумыл и постфикс - это набор маленьких программулин, которые работают под разными UID (не root) и защищены даже друг от друга.

________________
QMAIL
Qmail давно уже перестал развиваться автором и, в силу его требований к распространению кода неизменным может быть видоизменен патчами. Коих очень много и на все случаи жизни.

Для обычной работы ни один из них (кроме м.б. big-DNS) НЕ необходим. Да и без того я год обходился и ничего не заметил.

(+)К кумылу сеть чудесные средства управления и www интерфейсы почты в виде plain C CGI. (www.inter7.com) Никаких PHP, понимаешь...
(-)слабое место - нет готового out of box решенеия для борьбы со
спамом
(+) есть отличный форум www.ru.qmail.org на котором тусуются люди, которые это дело сильно развивают.
________________
POSTFIX
постфикс, в отличие от кумыла развивается. Сейчас он хорошо заточен для борьбы со спамом, к нему легко пристегиваются разные внешние решения.
(-) IMHO, нет приемлемых средств управления в виде plain C CGI

________________
и тот и другой, IMHO, одинаково хороши.
Оба отлично работают с Drweb, который есть отличный антивирус и, даже в виде триала ловит вирусы (только не лечит).
Оба привинчиваются к LDAP, в силу чего подходят для масштабных серверов, базам данных и к чему душа пожелает.
Тот факт, что на qmail _очень_долго работал hotmail, о многом говорит. Затем некоторе время он был прикрыт снаружи WINNT и притворялся IIS+Exchange.
Только после введения w2k, после долгих падений hotmail стал виндовым. Либо он очень хорошо замаскирован по сейчас -))

однако современные сервис провайдеры выбирают либо POSTFIX, либо коммерческий CGP, на который можно обратить внимание и небогатой фирме, поскольку он в демоверсии имеет полную функциональность, только добавляет рекламу к сообщениям...

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Re: sendmail

Сообщение setar » 18 сен 2003, 18:38

art писал(а):дЫрки сендмыла, указанные там - не более чем на 60% дырки собственно сендмыла, но, в силу его монструзности и супер конфигурабельности, они почти никогда не эксплуатировались в боевых условиях.
Тем не менее - программа работающая от рута это устаревший подход.
от рута ? ;) а Вы когда последний раз настраивали sedmail ???
Тот факт, что его конфигурационный файл правится внешними средствами, отличными от текстового редактора имеет ближайшим аналогом window и regedit -)). Идея может и была хороша, но её смысл потерялся.
то что конфиги горе админы открывают для правки левыми программами не есть дыры sendmail - а лишь кривые руки админов

...
Да и собственно чего я спорю то :)
Я лишь хочу сказать что в кривых руках даже самая суперская программа встанет раком.
Последний раз редактировалось setar 18 сен 2003, 19:51, всего редактировалось 1 раз.

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Re: sendmail

Сообщение art » 18 сен 2003, 19:49

от рута ? ;) а Вы когда последний раз настраивали sedmail ???
в 1999г. , если сейчас не так, то прощенья просим.
то что конфиги горе админы открывают для правки левыми программами не есть дыры sendmail - а лишь кривые руки админов
так зачем же все таки нужен такой способ конфигурирования?
"мой дед и прадед так делали и я буду делать?"

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 18 сен 2003, 19:53

To art
Заинтересовали вы меня ;) - сижу плотно postfix изучаю ...

Аватара пользователя
art
free-lance moderator
Сообщения: 653
Зарегистрирован: 15 май 2003, 11:25
Откуда: SPb

Сообщение art » 18 сен 2003, 20:26

setar писал(а):To art
Заинтересовали вы меня ;) - сижу плотно postfix изучаю ...
я тоже :-)

люблю кумыл, но на машину для опытов водрузил postfix, что то есть в нем свежее, весеннее...

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»