[gull] [Q] clamav & spamassassin

Daniel Cordey dc at mjt.ch
Mon Apr 19 09:52:02 CEST 2004


On Friday 16 April 2004 23.46, sneaky56 at gmx.net wrote:

> Ou je me pose des questions, c'est si question permissions, les
> sockets "clamd.ctl" et "spamass.sock" ne sont pas un peu trop
> ouvertes?

En effet, il n'est absolument pas necessaire d'avoir ni 777 ni UID et GID a 
root. Ces sockets sont destines a permettre le dialogue entre les 
applications concernees. Idealement, il faudrait que toutes ces applications 
fassent partie du meme groupe (ex: mail) et que le mode des sockets soient au 
plus 760. De plus, aucune de ces applications ne necessite de tourner sous 
root. Toutefois, pour pouvoir utiliser le port de SMTP (< 1024), sendmail a 
besoin d'etre root pendant la duree de l'ouverture de ce port; ensuite il 
change son UID. Cette fonctionalite est encore completee par un "splitting" 
entre une version de sendmail "daemon" et une version qui se charge de 
traiter la "mailqueue". Recupere la dernire version de sendmail (8.12.11) qui 
a toutes ces fonctionalites. Mais. en tout cas, il n'est plus necessaire 
d'avoir le SUID de sendmail pour root. 

Aussi, ne pas oublier de tourner ces applications en 'chroot'. Je sais... la 
doc est tres lacunaire et les procedure d'installation sont fausses (mauvais 
droits d'acces, etc.), mais avec de la patience, on arrive a avoir quelque 
chose de tres bien securise. J'ai meme reussi a faire tourner le programme de 
'local-delivery' avec un UID tout a fait quelconque.

Note: Plutot que d'utiliser 'procmail' comme  programme 'local' de sendmail, 
je lui ai prefere 'rmail' qui est nettement plus limite et plus leger. Pour 
ce faire, il faut compiler 'rmail' dans le package sendmail et l'installer 
explicitement (cela n'est pas du tout automatique...).

Daniel





More information about the gull mailing list