Re: postfix + chroot + apache + php
On Thursday 02 March 2006 06:10, LiRul wrote: Gondolod annyi millio embernek aki PHP-t hasznal, meg sosem jutott eszebe reportolni? Szerintem ezt meg jo 3-4 evvel ezelott lejatszottak a BTS-ben, a PHP fejlesztok masszivan ragaszkodnak ahhoz, hogy ez igy jo, vagy mert igy egyseges. nem gondoltam, de nem is talaltam meg a bts-ben. URL? En sokkal jobban orulnek neki, ha a configban --Win32 mintajara-- meg lehetne adni smtp hostot, s a mail() neki adna at a levelet tcp-n, nem hivna meg sendmail binarisokat popennel. A problema sokkal altalanosabb, mint mondtam, _barmit_ exec()-elsz, popen lesz belole, ami vagy rossz vagy megteveszto, mert alapvetoen kulonbozik a libcbeli azonosnevutol :( en pl az imp spellcheckeren csodalkoztam el anno, hogy elkezdett nemmenni, amikor bechrootoltam :( Szo _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Thu, Mar 02, 2006 at 06:10:55AM +0100, LiRul wrote: En sokkal jobban orulnek neki, ha a configban --Win32 mintajara-- meg lehetne adni smtp hostot, s a mail() neki adna at a levelet tcp-n, nem hivna meg sendmail binarisokat popennel. http://phpmailer.sourceforge.net/ -- Madarasz Gergely [EMAIL PROTECTED][EMAIL PROTECTED] It's practically impossible to look at a penguin and feel angry. Egy pingvinre gyakorlatilag lehetetlen haragosan nezni. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 09:01:14PM +0100, LiRul wrote: On Wed, Mar 01, 2006 at 04:52:02PM +0100, Kosa Attila wrote: Arra gondoltam, hogy ha van egy ssmtp-d a chroot-ban, amely korlatozas nelkul kuldhet ki leveleket, akkor az mivel jobb, mintha a postfix tenne ugyanezt (magyaran valamilyen modon lehetove tenned, hogy a chroot-bol elerjek a postfixedet levelkuldesre). Velhetoen a postfix komolyabb vedelmi mechanizmusokat tud alkalmazni, mint az ssmtp (peldaul a levelek meretere es szamara vonatkozoan). Biztos en nem olvastam jol, de nem az lenne a cel, hogy a chrooton beluli kvazi MTA atdobja a lokalis normal MTA-nak a levelet s a kezbesitest tovabbra is az csinalna? Igy minden limitacios lehetoseg megmaradna, csak transzparansen a php es a rendszer MTA koze kerulne egy ,,wrapper'. De minek egy mta a chroot-ba? Konnektaljon localhoston a postfix-hez, es kesz. -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
2006. március 2. 11.27 dátummal Kosa Attila ezt írta: De minek egy mta a chroot-ba? Konnektaljon localhoston a postfix-hez, es kesz. azért, hogy aztán lehessen nyavajogni, hogy jaj, feltörték a gépemet. Szóval akkor használom így, ahogy mondod. Üdv. Gábor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
http://phpmailer.sourceforge.net/ -- You only need PHP and the ability to send mail through PHP either with the mail() function or an SMTP connection. _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 10:47:52AM +0100, Matyi Gábor wrote: chrootolt apache környezetben próbáltam volna phpval levelet kiküldeni, de a /usr/sbin/sendmail -t a php nem találja. Olvasgattam az archivumot, meg a googlet, és a problémára az ssmpt-t javasolják. Nálami viszont postfix fut, a debiannal Gondolom az ssmtp-t a chroot-ba kellene rakni, ami a localhostra csatlakozva eri el a postfix-et. -- Udv: Skip NAUI Course Director #36774 http://www.manatus.hu Búvártanfolyamok kezdőtől az oktatói szintekig _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
Skip [EMAIL PROTECTED] írta: Gondolom az ssmtp-t a chroot-ba kellene rakni, ami a localhostra csatlakozva eri el a postfix-et. -- Én is erre gondoltam, ez persze azt jelentené, hogy kézzel letöltöm az ssmtp-t, majd az alábbi fájlokat egyenként bemásolom a chroot-ba, megnézegetem az install és configure sctipteket, hogy azok mit konfigurálnának, kissé testre szabnám, majd imátkoznék, hogy működjön, és a tákolmányom ne legyen egy potenciális betörési pont. etc/logcheck/ignore.d.server/ssmtp etc/ssmtp/revaliases usr/lib/sendmail usr/sbin/mailq usr/sbin/newaliases usr/sbin/sendmail usr/sbin/ssmtp Üdv. Gábor ___ [origo] klikkbank lakossági számlacsomag havi 199 Ft-ért, bankkártya éves díj nélkül! www.klikkbank.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 10:47:52AM +0100, Matyi Gábor wrote: chrootolt apache környezetben próbáltam volna phpval levelet kiküldeni, de a /usr/sbin/sendmail -t a php nem találja. Olvasgattam az archivumot, meg a googlet, és a problémára az ssmpt-t javasolják. Nálami viszont postfix fut, a debiannal pedig amikor telepíteném az ssmtp-t, akkor az nem fér meg a postfix-el. Esetleg dpkg -X-szel be lehet tenni a chroot-ba az ssmtp-t. Arra is gondoltam, hogy a php.ini -ben megadom, hogy a localhost az smtp szerver, viszont postfixet a saslautd -vel konfiguráltam, így authentikáció nélkül nem lehetne levelet kiküldeni. Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
Kosa Attila [EMAIL PROTECTED] írta: Arra is gondoltam, hogy a php.ini -ben megadom, hogy a localhost az smtp szerver, viszont postfixet a saslautd -vel konfiguráltam, így authentikáció nélkül nem lehetne levelet kiküldeni. Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... én sem látom. Valami megoldás viszont jó lenne, hogy a chrootold apach alatti phps cucc tudjon levelet kiküldeni. Üdv. Gábor ___ [origo] klikkbank lakossági számlacsomag havi 199 Ft-ért, bankkártya éves díj nélkül! www.klikkbank.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
Kosa Attila [EMAIL PROTECTED] írta: Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... ha szerinted egy bamba ssmpt nem biztosnágos, akkor légyszi áruld el, hogy mit hasznájlak helyette. Köszi előre is. Matyi Gábor ___ [origo] klikkbank lakossági számlacsomag havi 199 Ft-ért, bankkártya éves díj nélkül! www.klikkbank.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
Matyi Gábor wrote: Kosa Attila [EMAIL PROTECTED] írta: Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... ha szerinted egy bamba ssmpt nem biztosnágos, akkor légyszi áruld el, hogy mit hasznájlak helyette. ugyebar az ssmtp-t azert kellene hasznalni, mert sokkal konnyebb chroot-olni mint a postfixet... es a php-ban a sendmail_path be van allitva jol ?? en pl nbsmtp-t hasznalok ez statikus, nemsok problema van vele a chrootban sem :) es a sendmail_path-om erteke: PHP_ADMIN_VALUE sendmail_path /usr/sbin/nbsmtp -n -N -D -h 127.0.0.1 es adogatja jol a postfixnek a leveleket... Udv: Misi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 03:27:49PM +0100, Matyi Gábor wrote: Kosa Attila [EMAIL PROTECTED] írta: Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... ha szerinted egy bamba ssmpt nem biztosnágos, akkor légyszi áruld el, hogy mit hasznájlak helyette. Arra gondoltam, hogy ha van egy ssmtp-d a chroot-ban, amely korlatozas nelkul kuldhet ki leveleket, akkor az mivel jobb, mintha a postfix tenne ugyanezt (magyaran valamilyen modon lehetove tenned, hogy a chroot-bol elerjek a postfixedet levelkuldesre). Velhetoen a postfix komolyabb vedelmi mechanizmusokat tud alkalmazni, mint az ssmtp (peldaul a levelek meretere es szamara vonatkozoan). -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
2006. március 1. 16.52 dátummal Kosa Attila ezt írta: On Wed, Mar 01, 2006 at 03:27:49PM +0100, Matyi Gábor wrote: Kosa Attila [EMAIL PROTECTED] írta: Bar azt nem latom, hogy mitol lesz biztonsagosabb egy bamba ssmtp, mint egy auth nelkuli postfix... ha szerinted egy bamba ssmpt nem biztosnágos, akkor légyszi áruld el, hogy mit hasznájlak helyette. Arra gondoltam, hogy ha van egy ssmtp-d a chroot-ban, amely korlatozas nelkul kuldhet ki leveleket, akkor az mivel jobb, mintha a postfix tenne ugyanezt (magyaran valamilyen modon lehetove tenned, hogy a chroot-bol elerjek a postfixedet levelkuldesre). Velhetoen a postfix komolyabb vedelmi mechanizmusokat tud alkalmazni, mint az ssmtp (peldaul a levelek meretere es szamara vonatkozoan). Szia Attila, már az első levelemben is nagyjából erre gondoltam: Egy csomó energiát belefeccoltam már abba, hogy egy biztonságos szervert tegyek össze, így nem tetszik nekem sem ez az ssmptp-s megoldás, sem egyéb különféle barkácsolások. Velhetoen a postfix komolyabb vedelmi mechanizmusokat tud alkalmazni, mint az ssmtp (peldaul a levelek meretere es szamara vonatkozoan). Szóval akkor tegyem be a postfixet a chrootba, mert az sokkal biztonságosabb, mint pl. egy bamba ssmtp? Erre visszakérdeznék, hogy és mi van akkor, ha egymás mellett van két gép, az egyik a levelezőszerver, a másik a webszerver... Ésszerű megoldának így az tűnne, hogy a php smtp-vel érje el a levelezőszervert - a php.ini -ben viszont nem tudom megadni, hogy authentikáljon. valami weblap pl. ezt ajánlja http://glob.com.au/sendmail/ , de ezzel meg szintén az lehet, a probléma, amit te is mondasz. Üdv. Gábor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
Matyi Gábor wrote: Sziasztok, chrootolt apache környezetben próbáltam volna phpval levelet kiküldeni, de a /usr/sbin/sendmail -t a php nem találja. hat akkor ne azt hasznald, hasznalj valami pear modult peldaul. csatlakozz a localhost 25-os portjara, ahol a postfix ul. Arra is gondoltam, hogy a php.ini -ben megadom, hogy a localhost az smtp szerver, viszont postfixet a saslautd -vel konfiguráltam, így authentikáció nélkül nem lehetne levelet kiküldeni. az smtp authentikaciot is kellene tudjak a pear modulok. Pár nappal ezelőtt kérdeztétek már, hogy kell e a gépemen az smtp szerver, vagy elegendő e a localhost? A pontos választ mindezek alapján nem tudom. Arra van szükségem, hogyha valami progi levelet szeretne kiküldeni (pl. php-s cucc), akkor azt meg tudja tenni, de akkor is kizárólag authentikációval. Másrészről meg barkácsolni nagyon nem szeretnék, félek, hogyha a saslautd-t leveszem, akkor minden spammer levelezőszervernek használja a gépemet. a kettonek nincs koze egymashoz. a postfixet be lehet allitani ugy is, hogy csak a localhostrol fogadjon el authentikacio nelkul levelet (es/vagy barmi mas fix ip-rol), a tobbi helyekrol meg csak authentikacioval. Igy a road-warriorok is tudhatnak levelet kuldeni, a lokalis programokat sem muszaj authentikacioval bonyolitani, es a geped sem lesz open relay. Persze ha pl. kvotazni akarod a kulonbozo php-s programjaidat, akkor megteheted, hogy a kulonbozo progik kulonbozo usereket hasznalnak a levelkuldeshez, es a postfixben userenkent allitod a kvotakat/limiteket. -- Üdvözlettel, Gábriel Ákos -=E-Mail :[EMAIL PROTECTED]|Web: http://www.gabriel.co.hu=- -=Tel/fax:+3612367353 |Mobil:+36209278894=- _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 06:15:06PM +0100, Matyi Gábor wrote: Ésszerű megoldának így az tűnne, hogy a php smtp-vel érje el a levelezőszervert - a php.ini -ben viszont nem tudom megadni, hogy authentikáljon. Es nem lehet ugy bekonfiguralni a postfixet, hogy lokalhoston ne legyen authentikalas? -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 04:52:02PM +0100, Kosa Attila wrote: Arra gondoltam, hogy ha van egy ssmtp-d a chroot-ban, amely korlatozas nelkul kuldhet ki leveleket, akkor az mivel jobb, mintha a postfix tenne ugyanezt (magyaran valamilyen modon lehetove tenned, hogy a chroot-bol elerjek a postfixedet levelkuldesre). Velhetoen a postfix komolyabb vedelmi mechanizmusokat tud alkalmazni, mint az ssmtp (peldaul a levelek meretere es szamara vonatkozoan). Biztos en nem olvastam jol, de nem az lenne a cel, hogy a chrooton beluli kvazi MTA atdobja a lokalis normal MTA-nak a levelet s a kezbesitest tovabbra is az csinalna? Igy minden limitacios lehetoseg megmaradna, csak transzparansen a php es a rendszer MTA koze kerulne egy ,,wrapper'. -- LiRulhttp://www.hixsplit.hu/ Un*x + HIX = hixsplit Lehet, de nem erdemes nelkule... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 04:15:10PM +0100, Mihaly Zachar wrote: es a sendmail_path-om erteke: PHP_ADMIN_VALUE sendmail_path /usr/sbin/nbsmtp -n -N -D -h 127.0.0.1 es adogatja jol a postfixnek a leveleket... Es van az apache chrootodban /bin/sh ? -- LiRulhttp://www.hixsplit.hu/ Un*x + HIX = hixsplit Lehet, de nem erdemes nelkule... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 09:33:02PM +0100, Mihaly Zachar wrote: Es van az apache chrootodban /bin/sh ? van, mert kell a httpsdctl-nek.. miert ? Csak mert a php-s mail() /bin/sh-n keresztul hivja meg a sendmail_path-ban megadott programot. Ezert kell betenni egy shellt chrootba, eszem*megall. Eljen a security. :-) (ezt most nem ellened irom, csak remeltem h van valami modszer ennek kikerulesere) -- LiRulhttp://www.hixsplit.hu/ Un*x + HIX = hixsplit Lehet, de nem erdemes nelkule... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
LiRul wrote: On Wed, Mar 01, 2006 at 09:33:02PM +0100, Mihaly Zachar wrote: Es van az apache chrootodban /bin/sh ? van, mert kell a httpsdctl-nek.. miert ? Csak mert a php-s mail() /bin/sh-n keresztul hivja meg a sendmail_path-ban megadott programot. Ezert kell betenni egy shellt chrootba, eszem*megall. Eljen a security. :-) (ezt most nem ellened irom, csak remeltem h van valami modszer ennek kikerulesere) es tenyleg :) es valoszinuleg nem az egyetlen ilyen fv() :) hogyan kellene kikerulni ? hat ugye nem azt a mail() fv-kell hasznalni, tovabbmegyek, nem kell php-t hasznalni :) dehat ezek a dolgok az adott feladattol fuggenek.. azert ha nagyon kell, egy RBAC rendszerrel viszonylag jol lehet ezeket a dolgokat kordaban tartani szerintem.. Matyi Gabor-nak: abszolut nem latom, h mitol lenne jobb a postfix-et berakni a chroot-ba mi lesz, ha kell megegy chroot-olt webszerver ?? raksz oda is egy postfixet ? egyaltalan nem vagy elorebb, sot eroforrast meg helyet pazarolsz es bonyolitod az eleted nem ezen mulik a webszervered biztonsaga, sokkal inkabb a /bin/sh -n szvsz Udv: Misi _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wed, Mar 01, 2006 at 10:14:27PM +0100, Mihaly Zachar wrote: LiRul wrote: Csak mert a php-s mail() /bin/sh-n keresztul hivja meg a sendmail_path-ban megadott programot. Ezert kell betenni egy shellt chrootba, eszem*megall. Eljen a security. :-) (ezt most nem ellened irom, csak remeltem h van valami modszer ennek kikerulesere) es tenyleg :) Eleg sok ko:rt futottam mar ezzel. :( es valoszinuleg nem az egyetlen ilyen fv() :) hogyan kellene kikerulni ? hat ugye nem azt a mail() fv-kell hasznalni, Most ez van, PHPMailer-t hasznalnak a programozok. azert ha nagyon kell, egy RBAC rendszerrel viszonylag jol lehet ezeket a dolgokat kordaban tartani szerintem.. Igen, valoszinu. Ennel viszont tenyleg egyszerubb nem hasznalni a mail() fuggvenyt... -- LiRulhttp://www.hixsplit.hu/ Un*x + HIX = hixsplit Lehet, de nem erdemes nelkule... _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
2006. március 1. 22.14 dátummal Mihaly Zachar ezt írta: Matyi Gabor-nak: abszolut nem latom, h mitol lenne jobb a postfix-et berakni a chroot-ba mi lesz, ha kell megegy chroot-olt webszerver ?? raksz oda is egy postfixet ? egyaltalan nem vagy elorebb, sot eroforrast meg helyet pazarolsz es bonyolitod az eleted nem ezen mulik a webszervered biztonsaga, sokkal inkabb a /bin/sh -n rendben van, akkor legyepálom a /bin/sh -t is. Ja kell, az apachenak? Akkor keresek oda valami mást...:) Mondjuk visszatérve a téma elindításához: aszthiszem nem én vagyok az egyetlen, aki chrootolt apache(php) alól szeretne levelezni. Gábor _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: postfix + chroot + apache + php
On Wednesday 01 March 2006 21:43, LiRul wrote: On Wed, Mar 01, 2006 at 09:33:02PM +0100, Mihaly Zachar wrote: Es van az apache chrootodban /bin/sh ? van, mert kell a httpsdctl-nek.. miert ? Csak mert a php-s mail() /bin/sh-n keresztul hivja meg a sendmail_path-ban megadott programot. Ezert kell betenni egy shellt chrootba, eszem*megall. Eljen a security. :-) (ezt most nem ellened irom, csak remeltem h van valami modszer ennek kikerulesere) nincs, a php exec()-e popen()-t hiv, ami meg shellt. Irni akartam egy bugreportot a phpsoknak errol, de sose kerult ra sor :( Szo _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux