User:
Group:
Новости
Знания
Проги
Линки и Сайты
Другое
Контакты

FORUM

Search:


SecurityFocus Vulns

Vulns: File Upload Script PHPBB Module Arbitrary Script Upload Vulnerability
<p>File Upload Script is a phpBB module that allows users to upload files to a Web site. File Upload Script is reported prone to an arbitrary script upload vulnerability. ...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

Vulns: Sun J2SE Software Development Kit Java Archive Tool Directory Traversal Vulnerability
<p>Sun J2SE Java Archive Tool is a compression utility that is used to create Java Archive (JAR) files. The Java Archive Tool is reported vulnerable to a directory traversa...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

Vulns: Azerbaijan Development Group AzDGDatingPlatinum Multiple Vulnerabilities
<p>AzDGDatingPlatinum is a Web based forum implemented in PHP. AzDGDatingPlatinum is reported prone to multiple vulnerabilities. These issues result from insufficient sani...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

Vulns: Citrix MetaFrame Web Client Access Restriction Bypass Vulnerability
<p>Citrix MetaFrame Web Client allows users to connect to Citrix using a PC. It is reported that the client application provides access to various applications on the serve...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

Vulns: RadScripts RadBids Gold Multiple Vulnerabilities
<p>RadBids Gold is a Web based auction application implemented in PHP with a mySQL database. RadBids Gold is reported prone to multiple vulnerabilities. These issues inclu...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

Vulns: Centrinity FirstClass Client Bookmark Window File Execution Vulnerability
<p>Centrinity FirstClass Desktop is a client application used to manage the FirstClass server. FirstClass is reported prone to a vulnerability that may allow remote attack...</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

BugTraq: Pafiledb ACTION Parameter XSS
<p>Sender: tom cruise [the dot n3t at gmail dot com]</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

BugTraq: UnixWare 7.1.4 UnixWare 7.1.3 UnixWare 7.1.1 : telnet client multiple issues
<p>Sender: [please_reply_to_security at sco dot com]</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

BugTraq: How to Report a Security Vulnerability to Microsoft
<p>Sender: Microsoft Security Response Center [secure at microsoft dot com]</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

BugTraq: iDEFENSE Security Advisory 04.08.05: Microsoft Multiple E-Mail Client Address Spoofing Vulnerability
<p>Sender: iDEFENSE Labs [labs-no-reply at idefense dot com]</p><br /><br /> <p> &gt;&gt; Advertisement &lt;&lt;<br/> ALERT: How a Hacker Launches a SQL Injection Attack<br/> It's as simple as placing additional SQL commands into a Web Form input box giving hackers complete access to all your backend systems! Firewalls and IDS will not stop such attacks because SQL Injections are NOT seen as intruders. Download this *FREE* white paper from SPI Dynamics for a complete guide to protection!<br /> <a href="http://www.securityfocus.com/sponsor/SPIDynamics_secpapers_050404" target="_blank">Download SQL Injection White Paper</a> </p>

More rss feeds from SecurityFocus
News, Infocus, Columns, Vulnerabilities, Bugtraq ...


BackЗнанияForward

<DIR> ..
2005-02-27 13:43:27

Установка почтовой системы на Gentoo linux для небольшой конторы
Самую свежую документацию, массу примеров и первоисточники можно найти на Original Link
Mirror

Используется postfix + cyrus-imap, авторизация пользователей через cyrus-sasl без прикручивания какой-либо БД (подходит для контор с несколькими десятками почтовых ящиков - хранить что-либо в mysql или postgress в данном случае нет смысла). Пользователи хранятся в базе sasldb, поэтому нет нужды заводить в системе реальных пользователей.

Возможно при установке указанных пакетов понадобится установить все зависимости, которые они за собой тянут. Предоставим системе самой разобраться, что же ей не хватает - она с этим вполне успешно справляется.

Предпочитаю использовать для /var reiserfs, но это сугубо личные предпочтения.


emerge -pv cyrus-sasl
[ebuild N ] dev-libs/cyrus-sasl-2.1.20 -authdaemond +berkdb -debug +gdbm +java -kerberos
-ldap +mysql +pam -postgres +ssl -static 0 kB

На всякий случай проверяем флаги - все ОК

emerge cyrus-sasl

Этот пакет поставили, едем дальше

emerge -pv postfix
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[ebuild N ] mail-mta/postfix-2.1.5-r1 +ipv6 -ldap -mailwrapper -mbox +mysql +pam -postgres
-sasl*(-selinux) +ssl -vda 0 kB

Здесь нам может пригодиться флаг sasl, хотя в моем случае пока нет нужды авторизоваться на smtp, возможно в дальнейшем здесь будет описана авторизация через cyrus-sasl на smtp - вообщем выставляйте флаги по вкусу кому что надо

USE="sasl" emerge postfix

Постфикс собрался

emerge -pv cyrus-imapd
These are the packages that I would merge, in order:
Calculating dependencies ...done!
[ebuild N ] net-mail/cyrus-imapd-2.2.10 -afs -drac -idled -kerberos +pam -snmp +ssl +tcpd 0 kB

После проверки и установки нужных нам флагов собираем imap-сервер

emerge cyrus-imapd


Программа для администрирования имаповских ящиков

emerge cyrus-imap-admin


После того как все нужные нам пакеты поставлены, можно приступать к настройке

сначала cyrus-sasl

passwd cyrus
chown -R cyrus:mail /etc/sasl - доступ cyrus к базе /etc/sasl2/sasldb2
saslpasswd2 cyrus - заводим в sasldb2
sasldblistusers2 - для проверки


Разбираемся с postfix

Cодержимое /etc/postfix/main.cf, ниже приведена примерная конфигурация почтового сервера подключенного напрямую к инету (не через relayhost), естественно для этого случая должна быть MX-запись в ДНС. Подчеркиваю, что умышленно опускаю многие параметры в main.cf, чтобы не раздувать описание. Добавьте все остальное руководствуясь документацией postfix.


queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
myhostname = mail.domain.tld
mydomain = mail.domain.tld
myorigin = $mydomain
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
local_recipient_maps =
unknown_local_recipient_reject_code = 550
mynetworks_style = subnet
mynetworks = 192.168.1.0/24, 127.0.0.0/8
relay_domains = $mydestination
НА ЭТУ СТРОЧКУ ОБРАТИТЕ ВНИМАНИЕ!!!
mailbox_transport = lmtp:unix:/var/imap/socket/lmtp



Когда добавили все, что нужно в main.cf, идем в /etc/postfix/master.cf

Ищем такую строку

# Also specify in main.cf: cyrus_destination_recipient_limit=1
cyrus unix - n n - - pipe
user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}


И заменяем путь на

# Also specify in main.cf: cyrus_destination_recipient_limit=1
cyrus unix - n n - - pipe
user=cyrus argv=/cyrus/deliver -e -r ${sender} -m ${extension} ${user}


Все, постфиксом разобрались, теперь cyrus-imapd

Редактируем /etc/cyrus.conf

# $Header: /var/cvsroot/gentoo-x86/net-mail/cyrus-imapd/files/cyrus.conf,v 1.4 2004/07/18 04:02:23
dragonheart Exp $
# Standard standalone server configuration.
START {
# Do not delete this entry!
recover cmd="ctl_cyrusdb -r"
# This is only necessary if using idled for IMAP IDLE.
#idled cmd="idled"
}
# UNIX sockets start with a slash and are put into /var/imap/socket.
SERVICES {
# Add or remove based on preferences.
imap cmd="imapd" listen="imap2" prefork=0
pop3 cmd="pop3d" listen="pop-3" prefork=0
# Don't forget to generate the needed keys for SSL or TLS
# (see doc/html/install-configure.html).
imaps cmd="imapd -s" listen="imaps" prefork=0
pop3s cmd="pop3d -s" listen="pop3s" prefork=0
sieve cmd="timsieved" listen="sieve" prefork=0
# at least one LMTP is required for delivery
#lmtp cmd="lmtpd" listen="lmtp" prefork=0
##ОБРАТИТЕ ВНИМАНИЕ НА ЭТУ СТРОКУ
lmtpunix cmd="lmtpd" listen="/var/imap/socket/lmtp" prefork=0
# this is only necessary if using notifications
#notify cmd="notifyd" listen="/var/imap/socket/notify" proto="udp" prefork=1
}
EVENTS {
# This is required.
checkpoint cmd="ctl_cyrusdb -c" period=30
# This is only necessary if using duplicate delivery suppression.
delprune cmd="ctl_deliver -E 3" period=1440
# This is only necessary if caching TLS sessions.
tlsprune cmd="tls_prune" period=1440
}


Далее редактируем /etc/imapd.conf

configdirectory: /var/imap
partition-default: /var/spool/imap
auto_transition: yes
tls_ca_path: /etc/ssl/certs
tls_cert_file: /etc/ssl/cyrus/server.crt
tls_key_file: /etc/ssl/cyrus/server.key
admins: cyrus
hashimapspool: yes
allowanonymouslogin: no
allowplaintext: yes
sasl_pwcheck_method: auxprop
sasl_auxprop_plugin: sasldb
sasldb_path: /etc/sasl2/sasldb2
sasl_mech_list: LOGIN PLAIN

Авторизация через базу sasldb, механизмы авторизации LOGIN,PLAIN вроде бы с настройкой cyrus покончено

Теперь займемся почтовыми ящиками юзеров, для этого используем программу cyradm

cyradm -user cyrus -server localhost
localhost> cm user.testuser
localhost> help - выводит все команды для руления юзерскими ящиками
localhost> exit

Не забудьте забить в sasldb2 нового юзера:

sasldbpasswd2 testuser


Поднимаем сервисы

/etc/init.d/postfix start
/etc/init.d/cyrus start

Настраиваем почтового клиента (проверено с thunderbird 1.0 и с KMail 1.7.1, с Outlook Express тоже должно быть проблем).

Пробуем отправить письмо , если что-то не работает - смотрим логи, прежде всего проверьте права на доступ в /var/imap/socket/lmtp для пользователей postfix и cyrus, чаще всего проблемы связаны именно с этим. Также проверьте права на доступ к /etc/sasl2/sasldb2 для пользователя cyrus.


P.S. Все вышеописанное проверялось на моей рабочей машине и на серваке небольшой конторы. Автор (или авторы) не несут ответственности за безграмотное и необдуманное применение данного руководства. Ваша безопасность в ваших руках и в голове! Данное описание не претендует на полное и развернутое и не является единственно возможным вариантом конфигурации. Также выражаю признательность разработчикам вышеописанных замечательных программ за прекрасное исполнение и хорошую документацию. Практически все вышенаписанное подчерпнуто из документации к самим пакетам, а также некоторые мысли родились из отрывочных данных, блуждающих в рунете - большое спасибо за это их авторам.

Автор|Источник|Перевод: Источник: http://ru.gentoo-wiki.com/

 

Banners:

Rambler's Top100

All mp3 music

DPG БИЗНЕС ПО для КПК

Московский Палмклуб

Системы прослушивания. Многоканальная запись.


Last forum posts
Ни у кого RIMMов не завалялось?(Last posted: Destructor)
%)(Last posted: Pion2er)
Страйкбол и все все все...(Last posted: JeKa)
Есть вакансия курьера.(Last posted: Destructor)
DNS в FreeBSD 5.2.1(Last posted: Виталий)