On Friday 16 April 2004 23.46, [EMAIL PROTECTED] wrote: > Ou je me pose des questions, c'est si question permissions, les > sockets "clamd.ctl" et "spamass.sock" ne sont pas un peu trop > ouvertes?
En effet, il n'est absolument pas necessaire d'avoir ni 777 ni UID et GID a root. Ces sockets sont destines a permettre le dialogue entre les applications concernees. Idealement, il faudrait que toutes ces applications fassent partie du meme groupe (ex: mail) et que le mode des sockets soient au plus 760. De plus, aucune de ces applications ne necessite de tourner sous root. Toutefois, pour pouvoir utiliser le port de SMTP (< 1024), sendmail a besoin d'etre root pendant la duree de l'ouverture de ce port; ensuite il change son UID. Cette fonctionalite est encore completee par un "splitting" entre une version de sendmail "daemon" et une version qui se charge de traiter la "mailqueue". Recupere la dernire version de sendmail (8.12.11) qui a toutes ces fonctionalites. Mais. en tout cas, il n'est plus necessaire d'avoir le SUID de sendmail pour root. Aussi, ne pas oublier de tourner ces applications en 'chroot'. Je sais... la doc est tres lacunaire et les procedure d'installation sont fausses (mauvais droits d'acces, etc.), mais avec de la patience, on arrive a avoir quelque chose de tres bien securise. J'ai meme reussi a faire tourner le programme de 'local-delivery' avec un UID tout a fait quelconque. Note: Plutot que d'utiliser 'procmail' comme programme 'local' de sendmail, je lui ai prefere 'rmail' qui est nettement plus limite et plus leger. Pour ce faire, il faut compiler 'rmail' dans le package sendmail et l'installer explicitement (cela n'est pas du tout automatique...). Daniel _______________________________________________ gull mailing list [EMAIL PROTECTED] http://lists.alphanet.ch/mailman/listinfo/gull
