Книга: Linux глазами хакера
8.4.5. Выполнение внешних команд
8.4.5. Выполнение внешних команд
В почтовом сервисе есть одна серьезная проблема — ему необходимо выполнять системные команды, а это всегда опасно. Если хакер сможет запустить такую команду без ведома администратора и с повышенными правами, то это грозит большими неприятностями. Именно поэтому мы понижали права, с которыми работает сервис, но этого недостаточно.
Чтобы запретить выполнение системных команд, необходимо заставить sendmal работать через безопасный интерпретатор команд. Для этого специально был разработан smrsh. Чтобы почтовый сервис использовал именно его, проще всего добавить следующую строку в файл sendmail.mc:
FEATURE('smrsh', 'binsmrsh')
В данном случае в скобках указано два параметра: имя командного интерпретатора и каталог, в котором он располагается. Убедитесь, что в вашей системе именно такой путь, или измените параметр.
По умолчанию интерпретатор smrsh выполняет команды из каталога /usr/adm/sm.bin. Программы из других директорий запускать невозможно. Если в каталоге /usr/admsm.bin находятся только безопасные программы, то ваша система будет менее уязвима.
Оглавление книги
- 8.4.4. Лишние команды
- 5.2. Моделирование и выполнение чертежа втулки
- 5.3. Моделирование и выполнение чертежа опоры
- Инструмент командной строки gbak
- Инструмент командной строки gfix
- 5.4 Команда trap: обработка прерываний
- 1.3. Правила подключения к компьютеру внешних устройств
- Безопасность внешних таблиц. Параметр EXTERNAL FILE DIRECTORY
- Команды и формирование культуры по инициативе сверху
- Scrum-команда: состав
- Как удалить ненужные команды из контекстного меню?
- Можно ли сделать командную строку цветной (как в фильме «Матрица»)?