| 1.1, EuPhobos (ok), 10:12, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему.. Всегда выпиливаю его.
Не понять мне логики, ssh, который важен для администрирования системы значит вынесен в меню выбора пакетов, и по умолчанию система ставится без него, если не пометить, а эту хрень exim без спроса ставим.
| | |
| |
| 2.3, Аноним (-), 10:21, 13/03/2016 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> Не понять мне логики
Зачем тебе ssh если у тебя сети нет? А без локального MTA не работает cron
| | |
| |
| 3.4, EuPhobos (ok), 10:35, 13/03/2016 [^] [^^] [^^^] [ответить]
| –6 +/– |
Без сети netinstall дебианский бессмысленный, а зачем крону мта? кричать о выводе исполняемых команд? В общем не пробовал, не знаю, т.к ставлю ssmtpd. ну хотя бы меню выбора что-ль сделали бы.
| | |
| 3.5, Аноним (-), 10:49, 13/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А без локального MTA не работает cron
Вот тебе , батенька, и юникс-вэй.
| | |
| |
| 4.29, Аноним (-), 14:42, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>>А без локального MTA не работает cron
cron рекомендует exim4 | postfix | mail-transport-agent
Не обязательно его иметь. Ну и заменить 2мя другими можно.
| | |
| |
| 5.58, Andrey Mitrofanov (?), 18:46, 13/03/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>>А без локального MTA не работает cron
> cron рекомендует exim4 | postfix | mail-transport-agent
> Не обязательно его иметь. Ну и заменить 2мя другими можно.
Не совсем двумя:
[CODE]$ aptitude search mail-transport-agent
v mail-transport-agent -
$ aptitude show mail-transport-agent
Нет в наличии или подходящей версии для mail-transport-agent
Пакет: mail-transport-agent
Состояние: не реальный пакет
Предоставляется: citadel-mta, courier-mta, esmtp-run, exim4-daemon-heavy, exim4-daemon-light,
lsb-invalid-mta, masqmail, msmtp-mta, nullmailer, postfix,
qmail-run, sendmail-bin, ssmtp, xmail[/CODE]
| | |
|
|
|
| 2.65, Аноним (-), 21:51, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Урок для дебиан, чтоб не пихал насильно этого монстра в минимально устанавливаемую систему
Так и не пихают, я только вчера debootstrap'ом проверял с flavor=minimal, нет там никакого exim.
| | |
|
| 1.6, Аноним (-), 10:54, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально избавиться от проявления подобных уязвимостей в будущем (хотя, в этом случае их нельзя будет обнаружить)?
| | |
| |
| |
| 3.67, Аноним (-), 21:53, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Может на привилегированный (до 1000) порт вешается?
Правильно, незачем пользоваться современными инструментами типа CAPABILITIES, лучше админить как будто 1993 год на дворе.
| | |
|
| 2.10, Аноним (-), 11:24, 13/03/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Пишет в локальные почтовые ящики всех пользователей в системе, например.
| | |
| 2.13, Andrey Mitrofanov (?), 11:44, 13/03/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
> set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально
И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.
В коридоре слышен топот ног -- к празднованию спешат присоединиться фанаты qmail.
| | |
| |
| 3.15, EHLO (?), 12:45, 13/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.
Так пишешь, как будто это плохо.
| | |
| |
| 4.18, Andrey Mitrofanov (?), 13:15, 13/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении прав.
> Так пишешь, как будто это плохо.
Это плохо.
| | |
|
| 3.20, fail (?), 13:40, 13/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
>> set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально
> И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении
> прав.
> В коридоре слышен топот ног -- к празднованию спешат присоединиться
> фанаты qmail.
Ыыы, запахло холиваром..)))
не доводилось копаться в кишках exim (1 из 3 mta второго поколения на *nix) - он что архитектypнo не модульный ?
| | |
| |
| 4.21, Andrey Mitrofanov (?), 13:46, 13/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> И тут, внезапно, вступает хор счастливых полmзователей postfix с арией об разделении
>> прав.
> не доводилось копаться в кишках exim (1 из 3 mta второго поколения
> на *nix) - он что архитектypнo не модульный ?
Модули есть, а разделения привилегий... не довложили, SUIDов накостылили.
А модулей там чуть больше, чем в systemd, светоче "модульности". Архитектура!
| | |
| |
| 5.30, fail (?), 14:44, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Модули есть, а разделения привилегий... не довложили, SUIDов накостылили.
понятно, нет золотой середины,
я для для базового и быстрого "архитектурного" вправления мозгов отправляю "курить" qmail-start.c
> А модулей там чуть больше, чем в systemd, светоче "модульности". Архитектура!
..
| | |
|
|
|
| 2.34, SubGun (??), 15:29, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Вопрос знатокам: какие привилегированные действия выполняет exim, что ему требуется иметь
> set-uid root? и нельзя ли его этого флага лишить, чтобы принципиально
> избавиться от проявления подобных уязвимостей в будущем (хотя, в этом случае
> их нельзя будет обнаружить)?
Такие же, какие выполняет nginx и др. подобные программы.
| | |
| |
| 3.37, Аноним (-), 16:31, 13/03/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
да кто ж nginx из-под рута запускать будет? для каждого демона нынче отдельного пользователя создают, а пользовательские скрипты и вовсе от имени пользователей выполняют, которые суть арендаторы хостингов.
| | |
| |
| 4.73, Алексей Морозов (ok), 06:01, 14/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта. Правда, после открытия порта привилегии можно дропнуть, что он и делает. Впрочем, экзим тоже, вроде как, под рутом почти не работает. Но suid-root использует для /usr/bin/exim4 даже в варианте exim4-daemon-light, ровно в силу своей монолитности.
| | |
| |
| 5.89, ЫгиПгт (?), 18:25, 15/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Внезапно:
root 826 0.0 0.0 90876 3004 ? Ss Mar10 0:00 nginx: master process /usr/sbin/nginx
www-data 2589 0.0 0.0 91588 3660 ? S Mar10 1:42 nginx: worker process
www-data 2591 0.0 0.0 91588 3664 ? S Mar10 2:00 nginx: worker process
Debian-exim 14059 0.0 0.0 108612 1812 ? Ss 2014 0:33 /usr/sbin/exim4 -bd -q30m
| | |
| |
| 6.94, . (?), 03:50, 16/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Внезапно:
Да бросьте, Поручик! Тут этого никто не оценит! (С) :-)
| | |
|
| 5.98, Павел Самсонов (?), 09:52, 17/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Ну, строго говоря, _запускают_ его именно под рутом из-за 80-го порта. Правда,
> после открытия порта привилегии можно дропнуть, что он и делает. Впрочем,
> экзим тоже, вроде как, под рутом почти не работает. Но suid-root
> использует для /usr/bin/exim4 даже в варианте exim4-daemon-light, ровно в силу своей
> монолитности.
Exinm оставляет stored uid = 0, он не всё дропает, в ps не все видно.
| | |
|
|
|
| |
| 3.53, dep346 (ok), 18:33, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Не специалист
После этих слов следовало бы остановиться. Далее идут высказывания, явно путающие запуск под рутом и работу под рутом. И к реальной работе Эксима отношения не имеющие. Ну не пишите вы про продукт, не читавши его документации!
| | |
| |
| |
| 5.74, Алексей Морозов (ok), 06:07, 14/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Зачем ему *gains* root? (и нет, я читал два следующих пункта --
> совершенно не убедило)
Убогость архитектуры. Надо сделать несколько привилегированных операций (например, положить в очередь, доступ к которой должен быть строго контролируем), и, соответственно, проще получить суперпользователя, а потом выполнить эти действия (от разных пользователей), чем разнести все по отдельным бинарникам, с продуманной системой прав. Back to the 80s.
Я, чгря, уже довольно давно не интересовался потрохами МТА и вообще линуксячьим администрированием, и традиционно использую postfix, но теперь буду знать точно, за что не любить exim.
| | |
| |
| 6.88, ЫгиПгт (?), 18:20, 15/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну, от человека, который использует postfix ничего другого ожидать и не приходится.
| | |
| |
| 7.92, Michael Shigorin (ok), 19:45, 15/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Ну, от человека, который использует postfix ничего другого ожидать и не приходится.
Зная Лёшу лично, а "этого кота впервые видя" -- поухмыляюсь над такими оценками. :)
Снизойдёте ли к доводам?
| | |
|
|
|
|
|
|
| 1.8, Аноним (8), 11:16, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ] | +4 +/– | По умолчанию в Дебиане ставится exim-daemon-light, а собран с Перлом, и таким об... большой текст свёрнут, показать | | |
| |
| |
| 3.83, Аноним 80_уровня (ok), 11:14, 15/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Он подох, когда бо́льшая часть логики обработки почты оказалась в конфигурации.
Вас послушать, так он мёртвым родился и мёртвым почту передавал лет тридцать.
| | |
| 3.90, ЫгиПгт (?), 18:30, 15/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А теперь посмотрите, как это сделано в нормальных
> МТА, авторы которых сразу подумали за безопасность в процесс обработки почты.
Странно, ни одного нормального MTA, кроме Exim не видел. Ну как бы они есть, какие-то, даже что-то чуть-чуть умеют, но нормальными их назвать язык не поворачивается. Но для локалхоста да, сойдут.
| | |
|
|
| |
| 2.24, Аноним (-), 14:23, 13/03/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они развели для его настройки!
| | |
| |
| 3.28, Andrey Mitrofanov (?), 14:39, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> чёрт с ним, с exim'ом! вы посмотрите какую наркоманию они
А Вы, извините, эксперт? В наркомании? Да, расскажите нам подробнее.
| | |
| 3.31, Аноним (8), 14:45, 13/03/2016 [^] [^^] [^^^] [ответить]
| +6 +/– | |
К счастью, "наркомания" элементарно отключается - достаточно создать свой /etc/exim4/exim4.conf .
| | |
| |
| 4.40, DeadLoco (ok), 17:18, 13/03/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Причем - одним файлом, а не винегрет из полсотни инклудов по три строчки каждый.
| | |
|
|
| 2.33, SubGun (??), 15:27, 13/03/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
При чем тут всякое дерьмо, типа postfix? Вопросы к тупому сборщику пакетов, который додумался perl включить по-умолчанию. Да и вообще, за тот трэш, который дебиановцы натворили с конфигом экзима, им надо в голову гвоздь забить.
| | |
| |
| 3.41, all_glory_to_the_hypnotoad (ok), 17:19, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Всякое дерьмо это exim. Предьявы не к сборщику пакетов, а к архитекторам экзима которые сделали его таким убогим и несекьюрным. До этого они оправдывали убогость экзима качеством кода и тестированием, типа мы такие хорошие разработчики, хорошо пишем и тестируем, потому, несмотря на кривую архитектуру, будет всё хорошо. Естественно, с убогой архитектурой хорошо быть не может.
Ну и, конечно, предьявы к кретинам которые умудрились этот кусок дерьма сделать дефолтным MTA в дистрибутиве большинство пользователей которого виндузоподобные дурачки и сами не в состянии оценить качество предлагаемых дефолтных пакетов.
| | |
| |
| 4.45, Andrey Mitrofanov (?), 17:34, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и, конечно, предьявы к кретинам которые умудрились этот кусок дерьма сделать
> дефолтным MTA в дистрибутиве большинство пользователей которого виндузоподобные дурачки
> и сами не в состянии оценить качество предлагаемых дефолтных пакетов.
Спасибо - от лица всех пользователей D. С восхищением следим за Вашим беспримерным Путём по переоценке, переучёту и непременно изменению всех дефолтов в Вашей федорочке. Олманоподобные Светила Мысли озаряют нашу занюханую вен^H^H^H дебианщину светом нетленным Далёкой Звездить, Вы поведёте нас^C NO MODEM
| | |
| 4.78, scorry (ok), 11:19, 14/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > ... в дистрибутиве большинство пользователей которого виндузоподобные дурачки
И снова вопрос: какой дистр является кошерным с твоей точки зрения? Вываливай, гуру.
| | |
|
|
| 2.57, Вареник (?), 18:42, 13/03/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> Postfix например
- и чем же он лучше? Тем что у него очередная уязвимость пришлась не на весеннее обострение?
| | |
| |
| 3.60, Michael Shigorin (ok), 19:13, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>> Postfix например
> - и чем же он лучше?
Для неизвращённого пользователя -- вообще-то всем. Проблемы хабов со сложной маршрутизацией волнуют мало кого.
> Тем что у него очередная уязвимость пришлась не на весеннее обострение?
Ссылочку не напомните?
| | |
|
|
| |
| 2.61, Michael Shigorin (ok), 19:15, 13/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Exim’s security record has been fairly clean, with only a handful of
> serious security problems diagnosed over the years.
> en.wikipedia
Типовое викивраньё, за которое надо бить линейкой по доступу: серийный remote root -- это не просто "serious".
| | |
|
| 1.64, ALex_hha (ok), 20:03, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Просто надо иметь ввиду, что уже несколько из них специфичны только для debian и не проявляются на том же RHEL.
| | |
| 1.66, pavlinux (ok), 21:52, 13/03/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Да что ж такое, никаких радостей! Третий год все дыры мимо...
Все одмины как люди - с дырами, фисят, правят, обновляют, имитируют БД.
И только я, заплесеневший мамонт, на протухшем демьяне.
$ exim -bV -v
Exim version 4.72 #1 built 13-Jul-2014 21:26:25
$ cat /etc/debian_version
6.0.10
| | |
| |
| 2.70, Аноним (-), 00:53, 14/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
У меня для тебя плохие новости - "эксим настолько древний, что в нём даже уязвимости находить перестали" - отнюдь не главная твоя проблема.
| | |
| |
| |
| |
| 5.84, Павел Самсонов (?), 12:13, 15/03/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Я когда работал с exim в продакшене, запускал его через sudo -u mail со снятыми setuid битами. Это была версия 4.69 и я не парился об обновлениях. Надо только дать капу cap_net_bind_service на бинарник exim и конфиг доработать под пользователя mail без изменения uid в процессе работы. В такой конфе exim у не куда выпрыгивать в повышение привелегий.
| | |
|
|
|
|
|
