'network_security'에 해당되는 글 82건

  1. 2011.09.15 sendmail의 보안

sendmail의 보안

network_security 2011. 9. 15. 11:43
반응형

sendmail의 보안

1. 설정파일 속성 변경하기

    # chattr +i /etc/mail/sendmail.cf or /etc/sendmail.cf
    # chattr +i /etc/mail/local-host-nameds
    # chattr +i /etc/mail/aliases or /etc/aliases
    # chattr +i /etc/mail/access

2.Sendmail deamon을 실행하는 쉘을 바꾸어주기

Sendmail의 보안을 위해서는 보통 프로그램의 /bin/sh을 smrsh program으로 바꾸어 주어야 합니다. /bin/sh로 실행이 되었을 경우에 해킹의 우려가 있으므로, 이를 제한하기 위해서 Sendmail 프로그램의 실행을 제한할 필요가 있기 때문입니다.

하지만, 레드햇의 RPM으로 설치했을 경우에는 Default로 설정이 되어 있습니다.
/etc/mail/sendmail.cf 또는 /etc/sendmail.cf 파일에서

Mprog, P=/bin/sh, F=lsDFMoqeu9, S=EnvFromL/HdrFromL, R=EnvToL/H drToL, D=$z:/,
T=X-Unix/X-Unix/X-Unix,
A=sh -c $u

의 굵게 쓴 파일을 아래와 같이 바꾸어주고
Mprog, P=/usr/sbin/smrsh, F=lsDFMoqeu9, S=EnvFromL/HdrFromL, R=EnvToL/H drToL, D=$z:/,
T=X-Unix/X-Unix/X-Unix,
A=smrsh -c $u
sendmail.cf 파일을 저장하고 아래와 같이 sendmail deamon을 재시작합니다.

    # /etc/rc.d/init.d/sendmail restart

3. 인증되지 않은 사용자의 Sendmail Deamon사용을 제한하기

S endmail에는 Anti-Spam Feature를 포함하고 있습니다. 이 기능을 제대로 사용하기 위해서는 /etc/mail/sendmail.cf 또는 /etc/sendmail.cf파일에서 옵션을 바꾸어 주어야 합니다.

    # privacy flags
    O PrivacyOptions=authwarnings, goaway

Sendmail에서 goaway 옵션을 사용할 경우에 SMTP의 EXPN, VRFY명령어를 제한하게 됩니다. 이로 인해서 VERB명령어도 더불어 제한하게 됩니다. 처음 SMTP에 접하시는 분들은 이 명령어에 대해서 생소할 수 있으므로 약간의 설명을 덧붙이겠습니다. STMP에 접속하여서 MAIL을 전달하기 위해서는 여러 가지 명령어를 사용하게 되어 있습니다.

아래와 같이 접속 후 HELP 명령어를 타이핑하면 HELO, EHLO, MAIL, RCPT, DATA, RSET, NOOP, QUIT, HELP, VRFY, EXPN, VERB ETRN, DSN, AUTH, STARTTLS등의 사용 가능한 명령어를 보실 수 있습니다.

자세한 사용법과 내용은 HELP <Command>하시면 알 수 있습니다.

    HELP AUTH <- 입력
    214-2.0.0 AUTH mechanism [initial-response]
    214-2.0.0 Start authentication.
    214 2.0.0 End of HELP info

    EXPN aroma <- 입력 (Mail list의 관계된 메일 계정을 보여줄 수 있는 명령어입니다.)
    250 2.1.5 <sweetness@linux.co.kr>
    VRFY aroma <- 입력(Alias에 관계된 메일 계정을 보여줄 수 있는 명령어입니다.)
    250 2.1.5 <aroma@mail.linuxul.com>

보안설정 후에는 아래와 같은 메시지가 나타납니다.

    EXPN aroma <- 입력
    502 5.7.0 Sorry, we do not allow this operation

4. mailq command의 제한하기

/usr/bin/mailq 명령어를 제한하기 위해서는 /etc/mail/sendmail.cf or/etc/sendmail.cf파일에서 옵션을 바꾸어 주어야 합니다.

    # privacy flags
    O PrivacyOptions=authwarnings, goaway, restrictmailq

또한, queue디렉토리를 root권한으로 막아주고 재시작합니다.

    #chmod 0700 /var/spool/mqueue
    #/etc/rc.d/init.d/sendmail restart

mailq명령어를 실행시키면 아래와 같은 메시지가 나타납니다.

    aroma$ mailq
    You are not permited to see the queue

5. Queue 프로세스를 root권한으로 제한하기

Queue프로세스를 root권한으로 제한하기 위해서는 /etc/mail/sendmail.cf 또는 /etc/sendmail.cf파일에서 아래와 같이 옵션을 바꾸어 줍니다.

    # privacy flags
    O PrivacyOptions=authwarnings, goaway, restrictmailq, restrictqrun

파일을 저장후 재시작합니다.

    #/etc/rc.d/init.d/sendmail restart

6. SMTP Greeting Message를 수정하기

Sendmail의 Version 정보라든지 여러 가지 이유로 Connected중에 보여주는 아래와 같은 메시지들을 바꾸어주므로, 불필요한 정보를 숨길 수 있습니다.

    [root@mail /root]# telnet mail.linuxul.com 25
    Trying 211.106.100.89...
    Connected to mail.linuxul.com.
    Escape character is '^]'.
    220 mail.linuxul.com ESMTP Sendmail 8.11.0/8.11.0; Wed, 21 Feb 2001 22:50:51 +0900

/etc/mail/sendmail.cf 또는 /etc/sendmail.cf파일에서 옵션을 바꾸어 주어야 합니다.

    # SMTP initial login message (old $e macro)
    O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

를 아래와 같이 수정합니다.

    # SMTP initial login message (old $e macro)
    O SmtpGreetingMessage=$j

파일을 저장후 Sendmail을 재시작합니다.

    #/etc/rc.d/init.d/sendmail restart

수정후에는 아래와 같은 메시지가 출력됩니다.

    # telnet mail.linuxul.com 25
    220 localhost.localdomain ESMTP

7. Sendmail 모니터링

[Sendmail의 프로세스 상태보기]

    # ps aux|grep sendmail
    root 21094 0.0 0.3 3244 1504 ? S 08:43 0:00 sendmail: accepti

    [Sendmail의 mail 상태를 모니터링하기]
    praliases명령은 현재 메일 시스템의 Aliases상태를 보여줍니다.
    # praliases


----  출처 : 인터넷..
반응형
Posted by 공간사랑
,

티스토리툴바