28 января 2010 г. 18:36 пользователь Alexey Pechnikov <[email protected]> написал: >> > Специально для вас разыскал этот диалог между дебиан-девелоперами: >> >> > No, there are not. >> >> Yes, there are. >> >> Next? ;-)
>> Красиво, душевно :-) > Дискуссия была очень похожа на нашу - одни с успехом используют, другие нет, > взаимопонимания по непонятным причинам не наблюдается. В нашей дискуссии как раз понятно. Вы предпочитаете самостоятельно суперклеем склеивать велосипед из деталей очень разного происхождения, я - взять работающее решение, соединённое болтами, которые иногда надо подтягивать (в последний раз требовалось месяца два назад - поставил дрвеб, ибо у начальника инфобезопасности профессиональная паранойя и кламаву он недостаточно доверяет, в предпоследний - в сентябре, когда топам захотелось попосылать файлы в 100Мб). >> Кто-то говорил, что надо обрабатывать заголовок такого размера? >> Достаточно, если при попадании такого письма МТА не будет падать или >> открывать дыру. > В этом смысле все предпочитают ограничивать размер письма. Собственно, > поправить-то несложно, просто видимо никому не надо было (хотя можно и патч > поискать, например, посмотреть в том же netqmail, я в него давно не > заглядывал). Я в это верю. Просто когда на это указали djb и какое нынче число? Сколько лет прошло? >> Мне проще сделать белый список откуда принимать обязательно и >> проверять остальных внешними листами, чем принимать в два раза больше >> почты только потому, что образовался очередной ботнет, не попавший в >> мой рбл. > Поищите, вроде где-то я видел доработанный вариант под это дело. Мне он не > был интересен, так что ссылку не сохранил. Опять же, это внешняя утилита, > которая на безопасность qmail не влияет. Дешевле взять проверенное в N местах решение, чем клеить велосипед. >> Ссылки я смотрю. Главная засада в приведенных вами патчах - они каждый >> делает какой-то кусочек проверки. А надо - комплекс. Вторая засада - >> нет уверенности, что даже если каждый патч безопасен, будет безопасно >> их сочетание. > Они к разным утилитам относятся, так что не конфликтуют. Опять же, сборка Не всегда. Часть того, что мне могло бы потребоваться - патчила smtpd. Сильно не разбирался, но не факт, что они патчили не один и тот же файл. > http://dbn.smarden.org/sid/ выделяет и отдельную утилиту для "отбоя", чтобы > не менять оригинальный код ради нового функционала (и DJB это же советует). Не возражаю, но тогда не вижу смысла именно в кумыле, если все дырки прикрываются снаружи. >> > Так и qmail есть в non-free. Речь идет о замене существующего пакета более >> > функциональным. >> И даже сделать пакет netqmail тоже не вышло бы? > И такой пакет есть, лежит в репозитории Gerrit Pape (если не ошибаюсь, для > всех > релизов дебиана, начиная с potato). В 2007-м году, когда qmail был передан в > public domain, Gerrit пакеты зааплодил на ftp-master - и вот, ждем... Подозреваю - из-за отсутствия такой уж большой необходимости в кумыле именно в дистрибутиве. >> У меня юзеры из LDAP начинаются с uid 10000. При этом, с uid >64000 - >> технические юзеры типа бекапилки или нагиоса. Привязку программы к >> какому-либо uid/gid кроме 0 я бы назвал технической проблемой >> разработчика. > Во-первых, см. дебиан полиси, где это отнюдь не запрещается. Во-вторых, > запускать весь софт от рута - это вы через край хватили. Э... Запуск и привязка - разные вещи. Скажем, uid для daemon в дебиане равен 1, а в RH - уже 2. Если какая-либо софтина посчитает, что для запуска под daemon ей необходимо и достаточно сменить uid на 1, то её автор просчитался. Здесь - аналогично. -- Stanislav
