| sendmail 有一個安全弱點會讓遠端攻擊者取得 sendmail daemon 的權限, 通常是 root。 這個安全弱點是由一段特別設計過的電子郵件內容所觸發, 而不是藉由較低層的網路交通。 詳全文 sendmail對此作出的回應: http://www.sendmail.org/patchcr.html 升級方式:: 需求檔案: a. sendmail.8.12.8.tar.gz 步驟如下:(針對擴大內需時配發的Dell伺服器3.2-19990602-STABLE) 0.檢查sendmail版本.(此例為8.9.3..^^")  1.切換到/usr/local/,並從伺服器下載 sendmail.8.12.8.tar.gz 檔案  2.解壓縮檔案  3.切換到 sendmail-8.12-8 資料夾,並進行 編譯的動作!!  由於發現錯誤!! 並顯示錯誤訊息為 m4 版本過舊,所以我們要先更新m4的版本. 4.下載檔案 m4-1.4.tar.gz  5.解壓縮檔案  6.編譯及安裝 m4  既然安裝完了m4 那就可以繼續安裝sendmail了.. 7.重新進行sendmail編譯. (此步驟較花時間!!)  8.建立及安裝sendmail.cf檔案.  9.重新編譯sendmail  10.安裝sendmail  但是...天不從人願...出現錯誤訊息.. 觀看一下錯誤訊息..得知..要新增smmsp 使用者及群組 11.新增smmsp群組及使用者(uid及gid須為25) a.若您之前都不曾新增,或不曾將使用者設定儲存,會有這一個畫面.  b.新增使用者.  c.後續設定  12.重新嚐試安裝.  13.大致上是成功了..不過仍有一些小問題存在!!  處理mail.local (將信件送到本地端的使用者信箱程式!) 及rmail 再處理之前,先確保一下目前系統的狀況.以供確認.  14.處理mail.local  15.處理rmail  16.比對相關mail.local及rmail資料.發覺已經變更了!! mail.local的權限及所屬使用者群組不同! rmail的權限相同,但所屬使用者群組不同!(且路徑不同了~"~)  17.修正mail.local的權限資料  18.修正rmail的權限資料  19.確認smmsp的家目錄必須為/var/spool/clientmqueue  20.修改權限 770 及所屬群組使用者為smmsp  21.檢查/etc/mail資料夾中sendmail.cf及submit.cf權限  22.變更/etc/mail資料夾中sendmail.cf及submit.cf權限為root.wheel  23.更新access及aliases 資料庫! 首先是access資料庫,更新成功! 可是透過newaliases更新aliases資料庫卻出現錯誤!  24.修正aliases錯誤! a.發覺local-host-names用來設定主機要接收哪些領域的信件  b.若您有sendmail.cw檔案就採用更名的方式. mv sendmail.cw local-host-names c.若沒有自己新增此檔案,並在此檔案中加入自己的相關資料 此例我只加入機器的全名(FQDN),若您的機器有負責收領域信件,請加上領域名稱  25.重新更新aliases資料庫!再度發現錯誤!! ~"~  26.修正錯誤!並再度更新.這次成功了!  27.停止sendmail,並重新啟動新版的sendmail  28.觀看版本  29.進行收發信件測試.正常!!! 30.透過chsh修改smmsp的登入shell,變更為/sbin/nologin 輸入 chsh smmsp 變更!!  請注意!!步驟30請務必要作!!不然等於開了另外一個大洞給他人入侵!! 31.特別感謝..感謝 九湖國小 余成焜老師 提供學校伺服器測試.^^" 及蓬萊國小伺服器進行安裝說明抓圖. 32.後續..不知道還有沒有記得有一個rmail沒有處理呢..? 所謂rmail就是透過uucp來處理郵件的程式,很少用!! 只要知道新版本的位置在/usr/bin/rmail舊版本的在/bin/rmail. 必要時作一個連結即可.!! |
|