[gull] [Q] clamav & spamassassin
Daniel Cordey
dc at mjt.ch
Mon Apr 19 09:52:02 CEST 2004
On Friday 16 April 2004 23.46, sneaky56 at gmx.net wrote:
> Ou je me pose des questions, c'est si question permissions, les
> sockets "clamd.ctl" et "spamass.sock" ne sont pas un peu trop
> ouvertes?
En effet, il n'est absolument pas necessaire d'avoir ni 777 ni UID et GID a
root. Ces sockets sont destines a permettre le dialogue entre les
applications concernees. Idealement, il faudrait que toutes ces applications
fassent partie du meme groupe (ex: mail) et que le mode des sockets soient au
plus 760. De plus, aucune de ces applications ne necessite de tourner sous
root. Toutefois, pour pouvoir utiliser le port de SMTP (< 1024), sendmail a
besoin d'etre root pendant la duree de l'ouverture de ce port; ensuite il
change son UID. Cette fonctionalite est encore completee par un "splitting"
entre une version de sendmail "daemon" et une version qui se charge de
traiter la "mailqueue". Recupere la dernire version de sendmail (8.12.11) qui
a toutes ces fonctionalites. Mais. en tout cas, il n'est plus necessaire
d'avoir le SUID de sendmail pour root.
Aussi, ne pas oublier de tourner ces applications en 'chroot'. Je sais... la
doc est tres lacunaire et les procedure d'installation sont fausses (mauvais
droits d'acces, etc.), mais avec de la patience, on arrive a avoir quelque
chose de tres bien securise. J'ai meme reussi a faire tourner le programme de
'local-delivery' avec un UID tout a fait quelconque.
Note: Plutot que d'utiliser 'procmail' comme programme 'local' de sendmail,
je lui ai prefere 'rmail' qui est nettement plus limite et plus leger. Pour
ce faire, il faut compiler 'rmail' dans le package sendmail et l'installer
explicitement (cela n'est pas du tout automatique...).
Daniel
More information about the gull
mailing list