* [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
@ 2004-08-03 11:06 Sergey Y. Afonin
2004-08-03 11:19 ` Dmitry V. Levin
0 siblings, 1 reply; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-03 11:06 UTC (permalink / raw)
To: devel
Привет All.
Что-то до меня только сейчас дошло...
Есть три момента.
1. ALT Secure Packaging Policy
Владельцы каталогов
Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям.
Вместо этого следует использовать каталоги, принадлежащие root, с установленным
sticky bit и доступом группы по записи.
2. clamav-milter. В соответствии с 1 в спеке
%attr(3771,root,mail) %dir /var/log/clamav
Вроде тоже все понятно.
Проблема в том, что sendmail по своей собственной политике безопасности
не работает с сокетами, расположенными в каталогах, открытых для записи
для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
если сделать mail.mail, это будет нарушением полиси...
Был бы благодарен за идеи... Пока не приходит ничего в голову, как в
errata написать в readme... Можно попытаться поискать в сендмайле, где
это ограничение, но оно тоже не зря сделано...
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 11:06 [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy Sergey Y. Afonin
@ 2004-08-03 11:19 ` Dmitry V. Levin
2004-08-03 11:46 ` Sergey Y. Afonin
2004-08-03 12:07 ` Sergey Y. Afonin
0 siblings, 2 replies; 11+ messages in thread
From: Dmitry V. Levin @ 2004-08-03 11:19 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 1172 bytes --]
On Tue, Aug 03, 2004 at 04:06:28PM +0500, Sergey Y. Afonin wrote:
> Привет All.
>
> Что-то до меня только сейчас дошло...
>
> Есть три момента.
>
> 1. ALT Secure Packaging Policy
> Владельцы каталогов
> Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям.
> Вместо этого следует использовать каталоги, принадлежащие root, с установленным
> sticky bit и доступом группы по записи.
>
> 2. clamav-milter. В соответствии с 1 в спеке
> %attr(3771,root,mail) %dir /var/log/clamav
>
> Вроде тоже все понятно.
>
> Проблема в том, что sendmail по своей собственной политике безопасности
> не работает с сокетами, расположенными в каталогах, открытых для записи
> для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
> если сделать mail.mail, это будет нарушением полиси...
Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
расположенными в каталогах, принадлежащих root, с установленным sticky bit
и доступом владельца и группы (но не всех остальных) по записи.
Если владельцем каталога сделать пользователя mail, то он сможет менять
права доступа на этот каталог.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 11:19 ` Dmitry V. Levin
@ 2004-08-03 11:46 ` Sergey Y. Afonin
2004-08-03 14:10 ` Dmitry V. Levin
2004-08-04 13:01 ` Andy Gorev
2004-08-03 12:07 ` Sergey Y. Afonin
1 sibling, 2 replies; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-03 11:46 UTC (permalink / raw)
To: ALT Devel discussion list
On Tuesday 03 August 2004 16:19, Dmitry V. Levin wrote:
> > Проблема в том, что sendmail по своей собственной политике безопасности
> > не работает с сокетами, расположенными в каталогах, открытых для записи
> > для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
> > если сделать mail.mail, это будет нарушением полиси...
>
> Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
> расположенными в каталогах, принадлежащих root, с установленным sticky bit
Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
А что касается 8.13, ему в 2.4 попасть не судба, останется 8.12.11 ?
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 11:19 ` Dmitry V. Levin
2004-08-03 11:46 ` Sergey Y. Afonin
@ 2004-08-03 12:07 ` Sergey Y. Afonin
2004-08-04 3:58 ` Ivan Fedorov
1 sibling, 1 reply; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-03 12:07 UTC (permalink / raw)
To: ALT Devel discussion list
On Tuesday 03 August 2004 16:19, Dmitry V. Levin wrote:
> > для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
> > если сделать mail.mail, это будет нарушением полиси...
>
> Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
> расположенными в каталогах, принадлежащих root, с установленным sticky bit
Идея возникла. Повесить clamav-milter на ip-сокет на localhost, скажем,
localhost:4000. Такой вариант приемлим ? По крайней мере, это точно
быстрее исправить (только конфигурация) и должно работать. По крайней
мере, в варианте, когда sendmail на одном сервере, а clamav-milter на
другом это работает уже с пол-года. Проблем не наблюдается.
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 11:46 ` Sergey Y. Afonin
@ 2004-08-03 14:10 ` Dmitry V. Levin
2004-08-03 14:27 ` Sergey Y. Afonin
2004-08-04 13:01 ` Andy Gorev
1 sibling, 1 reply; 11+ messages in thread
From: Dmitry V. Levin @ 2004-08-03 14:10 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 889 bytes --]
On Tue, Aug 03, 2004 at 04:46:23PM +0500, Sergey Y. Afonin wrote:
> On Tuesday 03 August 2004 16:19, Dmitry V. Levin wrote:
>
> > > Проблема в том, что sendmail по своей собственной политике безопасности
> > > не работает с сокетами, расположенными в каталогах, открытых для записи
> > > для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
> > > если сделать mail.mail, это будет нарушением полиси...
> >
> > Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
> > расположенными в каталогах, принадлежащих root, с установленным sticky bit
>
> Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
> вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
Попробуйте - это просто.
> А что касается 8.13, ему в 2.4 попасть не судба, останется 8.12.11 ?
А почему не судьба?
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 14:10 ` Dmitry V. Levin
@ 2004-08-03 14:27 ` Sergey Y. Afonin
2004-08-03 14:32 ` Sergey Y. Afonin
0 siblings, 1 reply; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-03 14:27 UTC (permalink / raw)
To: ALT Devel discussion list
On Tuesday 03 August 2004 19:10, Dmitry V. Levin wrote:
> > Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
> > вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
>
> Попробуйте - это просто.
На самом деле, там есть нерекомендуемая возможность сказать, что запись
для группы на каталог можно считать нормальным явлением, только вот это
без учета sticky bit. Наверное, это не очень хорошо... Но в таком виде
sendmail-8.13.1-alt1.src.rpm я могу залить прямо сейчас. В принципе,
опция будет закомментирована, так как закомментировано все, относящееся
к ClamAV.
> > А что касается 8.13, ему в 2.4 попасть не судба, останется 8.12.11 ?
>
> А почему не судьба?
Это я, как раз, поинтересовался. Все-таки, смена версии.
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 14:27 ` Sergey Y. Afonin
@ 2004-08-03 14:32 ` Sergey Y. Afonin
0 siblings, 0 replies; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-03 14:32 UTC (permalink / raw)
To: ALT Devel discussion list
On Tuesday 03 August 2004 19:27, Sergey Y. Afonin wrote:
> На самом деле, там есть нерекомендуемая возможность сказать, что запись
> для группы на каталог можно считать нормальным явлением, только вот это
> без учета sticky bit. Наверное, это не очень хорошо... Но в таком виде
> sendmail-8.13.1-alt1.src.rpm я могу залить прямо сейчас. В принципе,
> опция будет закомментирована, так как закомментировано все, относящееся
> к ClamAV.
Ну и, конечно, я попробую сделать патч на тему аналогичной опции с учетом
sticky bit. И пойдет оно потом багфиксом...
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 12:07 ` Sergey Y. Afonin
@ 2004-08-04 3:58 ` Ivan Fedorov
0 siblings, 0 replies; 11+ messages in thread
From: Ivan Fedorov @ 2004-08-04 3:58 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 846 bytes --]
Sergey Y. Afonin пишет:
> On Tuesday 03 August 2004 16:19, Dmitry V. Levin wrote:
>
>
>>>для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
>>>если сделать mail.mail, это будет нарушением полиси...
>>
>>Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
>>расположенными в каталогах, принадлежащих root, с установленным sticky bit
>
>
> Идея возникла. Повесить clamav-milter на ip-сокет на localhost, скажем,
> localhost:4000. Такой вариант приемлим ? По крайней мере, это точно
> быстрее исправить (только конфигурация) и должно работать. По крайней
> мере, в варианте, когда sendmail на одном сервере, а clamav-milter на
> другом это работает уже с пол-года. Проблем не наблюдается.
>
У меня drweb работает по ip... проблем нет... почему же clamav не
повесить... и главное все правится конфигом!..
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-03 11:46 ` Sergey Y. Afonin
2004-08-03 14:10 ` Dmitry V. Levin
@ 2004-08-04 13:01 ` Andy Gorev
2004-08-04 14:02 ` Sergey Y. Afonin
1 sibling, 1 reply; 11+ messages in thread
From: Andy Gorev @ 2004-08-04 13:01 UTC (permalink / raw)
To: ALT Devel discussion list
Sergey Y. Afonin wrote:
> On Tuesday 03 August 2004 16:19, Dmitry V. Levin wrote:
>
>
>>>Проблема в том, что sendmail по своей собственной политике безопасности
>>>не работает с сокетами, расположенными в каталогах, открытых для записи
>>>для группы. Если сделать 751, то clamav-milter не сможет создать сокет,
>>>если сделать mail.mail, это будет нарушением полиси...
>>
>>Я бы ослабил ограничение в sendmail, чтобы он работал с сокетами,
>>расположенными в каталогах, принадлежащих root, с установленным sticky bit
>
>
> Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
> вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
Если боитесь не успеть, то что мешает у сендмыла просто сломать эту
проверку?
> А что касается 8.13, ему в 2.4 попасть не судба, останется 8.12.11 ?
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-04 13:01 ` Andy Gorev
@ 2004-08-04 14:02 ` Sergey Y. Afonin
2004-08-04 18:25 ` Andy Gorev
0 siblings, 1 reply; 11+ messages in thread
From: Sergey Y. Afonin @ 2004-08-04 14:02 UTC (permalink / raw)
To: ALT Devel discussion list
On Wednesday 04 August 2004 18:01, Andy Gorev wrote:
> > Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
> > вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
> Если боитесь не успеть, то что мешает у сендмыла просто сломать эту
> проверку?
Ломать - не строить... :-)
define(`confDONT_BLAME_SENDMAIL',`GroupWritableDirPathSafe')
и просто так есть. Но вот название опции мне не очень
нравится. Хочется понять, на какую засаду можно нарваться в
данном конкретном случае... С другой стороны, можно посчитать,
что достаточным является требование ALT Secure Packaging Policy
и, при следовании ему, данная опция для данного дистрибутива
допустима.
--
С уважением, Сергей Афонин
asy@altlinux.ru
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy
2004-08-04 14:02 ` Sergey Y. Afonin
@ 2004-08-04 18:25 ` Andy Gorev
0 siblings, 0 replies; 11+ messages in thread
From: Andy Gorev @ 2004-08-04 18:25 UTC (permalink / raw)
To: ALT Devel discussion list
Sergey Y. Afonin wrote:
> On Wednesday 04 August 2004 18:01, Andy Gorev wrote:
>
>
>>>Этого я и боялся... :-( Эх, фиговый из меня сейчас программист. Хотя начал
>>>вспоминать в последнее время, что это. Попробую, вопрос только, успею ли...
>
>
>>Если боитесь не успеть, то что мешает у сендмыла просто сломать эту
>>проверку?
>
>
> Ломать - не строить... :-)
> define(`confDONT_BLAME_SENDMAIL',`GroupWritableDirPathSafe')
> и просто так есть. Но вот название опции мне не очень
> нравится. Хочется понять, на какую засаду можно нарваться в
> данном конкретном случае... С другой стороны, можно посчитать,
> что достаточным является требование ALT Secure Packaging Policy
> и, при следовании ему, данная опция для данного дистрибутива
> допустима.
>
Скорее второе, так-как вы будете разруливать безопасность средствами
дистрибутива, а не средствами пакета. К тому-же не вполне безопасного.
--
С Уважением,
Андрей Горев
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2004-08-04 18:25 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-08-03 11:06 [devel] Конфликт между sendmail, clamav-milter и ALT Secure Packaging Policy Sergey Y. Afonin
2004-08-03 11:19 ` Dmitry V. Levin
2004-08-03 11:46 ` Sergey Y. Afonin
2004-08-03 14:10 ` Dmitry V. Levin
2004-08-03 14:27 ` Sergey Y. Afonin
2004-08-03 14:32 ` Sergey Y. Afonin
2004-08-04 13:01 ` Andy Gorev
2004-08-04 14:02 ` Sergey Y. Afonin
2004-08-04 18:25 ` Andy Gorev
2004-08-03 12:07 ` Sergey Y. Afonin
2004-08-04 3:58 ` Ivan Fedorov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git