From: Victor Forsyuk <victor@ksi-linux.com>
To: Alexey Shabalin <shaba@vot.ru>
Cc: ALT Devel disscusion list <devel@altlinux.ru>
Subject: [devel] Re: I: new package (amavisd-new)
Date: Thu, 18 Dec 2003 17:59:11 +0200
Message-ID: <20031218155911.GA17732@mailhub.gu.net> (raw)
In-Reply-To: <3FE0D5D1.1080904@vot.ru>
On Thu, Dec 18, 2003 at 01:16:49AM +0300, Alexey Shabalin wrote:
> >>поэтому пока проверка антивирусом происходит через сканер,
> >>а не демоном. антивирус желательно запускать от того же пользователя,
> >>что и amavisd.
> >Ok. Беру, что есть под руками - свежие спеки PLD (я их из PLD'шного cvs
> >беру). Там amavisd работает от пользователя amavis, а clamav - от
> >пользователя clamav. Не вижу принципиальной разницы.
> Но сизифовый clamd работает от пользователя mail
Да. Повторюсь - не вижу принципиальной разницы между нашим раскладом
по пользователям и тем, что в PLD. И там и там amavis работает от
одного пользователя, clamav - от другого.
> >>HO
> >>Считаю, что amavisd и clamd не должны работать от пользователя mail
> >>(хотя так и проще).
> >Аргументируйте.
> Котлеты отдельно, мухи отдельно. :)
Это не аргумент, а цитирование аксиом житейской мудрости с попыткой
найти им соответствие в технических решениях. :)
> Надо посмотреть что в системе доступно пользователю mail(что
> теоретически там можно испортить)
О! Вот это уже более конкретный разговор. Пользователю mail доступно
(принадлежит пользователю, доступно по записи) только то, что касается
почты (спул, почтовые ящики). Ничего другого процесс, обладающий
правами этого пользователя испортить не в состоянии.
Но извините, всё это доступно тому пользователю, от которого работает
MTA, как бы этот пользователь ни назывался.
> Вы сами выше привели пример из PLD(пользователь mail там не упоминался).
Я всего лишь отреагировал на утверждение "антивирус желательно запускать от
того же пользователя, что и amavisd" и жалобу на то, что у нас clamav
"неправильный" :)
На самом деле я готов согласиться с утверждением в форме "amavisd _проще_
запускать от того же пользователя, что и антивирус". Более того, убеждён
в том, что весь комплекс MTA + антивирус + антиспам-фильтр наиболее
осмысленно настроить на одного пользователя. Зачем усложнять?
Подумайте, не будет ли лучшим решением работа amavisd от пользователся mail?
> >>Нужно найти какой-то компромис между пользователями exim, которые могут
> >>обоитись и без amavisd и текущим clamav; и пользователями postfix - для
> >>которых нужен amavisd и измененый clamav.
> >Поясните - почему Вы считаете, что для postfix нужен измененный clamav?
> для postfix нужен amavisd, а для amavisd нужен измененный clamav.
> измененный - значит, что amavisd без проблем доберется до сокета clamav.
Если amavisd общается с сокетом clamav, почему бы ему и не работать
от того же пользователя?
> exim может работать ,и с clamav ,и с spamassassin самостоятельно,
> а postfix через ж.., извините, amavisd
Увы, увы... Для применения в боевых условиях постфиксу нужны костыли. :)
> P.S: Страшно мне запускать clamd и amavisd от пользователя mail,может
> просто имя mail пугает, а на самом деле здесь ничего нет.
Хммм... Может и пугает. :)
Посмотрите на ситуацию с такой вот стороны. В любом случае amavisd, как и
_любая другая программа в цепочке работы с почтой_ имеет по роду своей
работы достаточно прав, чтобы сделать с этой почтой много чего - изменить,
отказать в приеме и т.п. В том числе и, будучи скомпрометированной,
"испортить" почту, выполнить непредусмотренные конфигурацией и
несанкционированные действия. В таком случае какой в смысл в создании
каждой из этих программ отдельного пользователя?
prev parent reply other threads:[~2003-12-18 15:59 UTC|newest]
Thread overview: 4+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-12-17 19:19 ` Victor Forsyuk
2003-12-18 9:19 ` Konstantin Lepikhov
2003-12-18 16:03 ` Victor Forsyuk
2003-12-18 15:59 ` Victor Forsyuk [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20031218155911.GA17732@mailhub.gu.net \
--to=victor@ksi-linux.com \
--cc=devel@altlinux.ru \
--cc=shaba@vot.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git