Hello! On Wednesday 27 January 2010 20:09:00 Stanislav Vlasov wrote: > 27 января 2010 г. 18:11 пользователь Alexey Pechnikov > <[email protected]> написал: > >> > Единственный серьезный баг в qmail - на превышение 2 Гб хидера - вас > >> > ровно так же не затрагивает. Причем есть путь обхода (ограничение > >> > ресурсов), причем это уже прописано в дебиановском init-скрипте и для > >> > нас с вами представляет не более чем теоретический интерес. > >> При этом, эксплуатация бага возможна в случае, если ограничение > >> ресурсов поставить больше, чем на 2Гб вообще, а не 2Гб на хидер. > > > Больше 2Гб на письмо? Оно вам надо?.. Притом в дебиановской сборке, если > > уж на то пошло, 4 Гб... > > Больше 2Гб на _процесс_ открывает дырку.
По-мелкому, но обманываете - там unsigned int - 4 Гб. > А Nxx мегабайт на письмо, да еще не факт, что не одновременно > несколько - это хотят пользователи. Пока еще только хотят. Попробуйте exim-ом такое письмо обработать, подозреваю, что проблемы словите много раньше, чем достигнете 4 Гб размера письма. Что касается нескольких, то qmail письма в отдельных процессах обрабатывает, так что лимит касается именно одного письма. > >> Процитируйте. Или не приписывайте лишнего. > > > Вы же утверждали, что даже ошибки exim нам даны свыше и мы обязаны их > > смиренно принимать, не пытаясь заменить exim. А вот 1 ошибка qmail с > > переполнением в заголовке вам спать почему-то не дает. > > Процитируйте, где я вообще говорил про ексим. Помню, у вас постфикс. Суть дела от этого не меняется, т.к. исходники постфикса, насколько я понимаю, вы тоже не смотрели. Но почему-то доверяете, что там нет багов... > Про ошибки - мог не так выразиться, но тем не менее, данная ошибка > вполне себе даёт удалённого рута, если правильно помню. Не факт, что в других системах нет такой же ошибки. Но qmail очень тщательно тестировали и тестируют, в т.ч. благодаря громкому заявлению DJB о выплате денег за секьюрити баги. > С 0 - не напишу. Не с нуля - не вижу патча, который позволил бы хотя > бы проверить по списку RBL Для этого патч не нужен. Используйте rblsmtpd. > и про попадании не меньше чем в N - либо отопнуть, либо добавить хидер > с указанием. Насчет "не меньше чем в N" я не в курсе, обычно N==1. > Или патча, который позволит > проверить helo/from/to/ip внешними средствами и получить решение о > приёме до посылки ответа на DATA. Я уже писал: Вот что касается патчей (по ссылке выше можете посмотреть и другие ресурсы): http://www.ru.qmail.org/docs/lwq/lwq.html#patches Например, выбираете пункт "5.12. Отклонение недействительных получателей во время SMTP-сессии" в оглавлении, узнаете, что список соответствующих патчей доступен здесь: http://netdevice.com/qmail/rcptck/ и также вам предлагается ссылка на рекомендуемый патч. Добавлю, что ip можно проверять внешними средствами, как пример - уже упоминавшийся rblsmtpd. > > Если вы, конечно, не захотите прежде подумать - почему > > мантейнер деб-пакета не делает этого. > > Вероятные причины (судя по неполным аналогам из открытых багов): > 1) добавил разрозненные патчи, покрывающие какую-то функциональность и > успокоился. > 2) не предлагали что-то похожее. Ну что с вами сделать, чтобы вы перестали на кофейной гуще гадать :-) Итак, почти весь софт от DJB мантейнит Gerrit Pape, к тому же он и сам разрабатывает очень интересные аналоги и другие утилиты (и в т.ч. он же мантейнер dash). Когда-то он поднимал вопрос о том, что qmail в дебиане на правах золушки (примерно как тикль, кстати), и что это за дурацкая политика, требующая пренебрегать отличным public domain ПО. Пакеты с qmail и netqmail он собрал и зааплодил на ftp-master, но до сих пор их "маринуют". Подробнее см. здесь: http://smarden.org/pape/Debian/sid.html Так что причины - в бюрократии, увы. > > Ой как все запущено... Апеллировать к тому, что в команде adduser может > > проявиться баг именно при установке qmail - это бред собачий. И на любом > > дебиан-хосте нижеприведенная команда работает как ей и полагается: > > adduser --system --no-create-home --quiet --home $home --gid $gid --uid $uid > > --gecos \'$gecos\' $name >/dev/null 2>&1 > > Ой как всё запущено... То есть допустить, что юзер с uid 64010 в > системе может уже быть вы не в состоянии? Опять вы в чем-то непотребном мантейнера подозреваете :-) Позвольте мне все же отослать вас к preinst скрипту, вместо того, чтобы его целиком здесь приводить. Есть там такая проверка, не волнуйтесь. Best regards, Alexey Pechnikov. http://pechnikov.tel/
