[linux-l] Firewall ja oder nein?

Volker Grabsch vog at notjusthosting.com
Fr Jan 13 17:30:40 CET 2006 

On Fri, Jan 13, 2006 at 08:43:35PM +1100, Peter Ross wrote:
> >Anmerkung meinerseits:
> >muss nicht laufen, alerts sollen eh ueber exec /usr/lib/sendmail
> >verschickt werden, also ganz TCP-frei, ein "sendmail -q" (oder wie das
> >genau war, oder Äquivivalent) via cron oder so reicht aus.
> >(Oder?)
> 
> Oft werden Mails von Monitoren verschickt, und die sollen
> a) unabhaengig vom inswtallierten Mailer sein (kein exec sendmail an einer
>    bestimmten Location)

Dafür gibt es SMTP-Libraries, (z.B. die Funktion mail() von PHP)
die i.d.R. systemweit konfiguriert werden. Ich persönlich halte
halte jedoch ebenfalls localhost:25 für die bessere Wahl, da ein
nur an localhost:25 hängender Daemon genauso viel (oder wenig)
Angriffsfläche liefert wie das sendmail-Kommando, aber man keine
Probleme hat, den "richtigen" Pfad zu finden.

> b) zeitnah ankommen

Du hast offenbar Steffen missverstanden und weiß nicht, wie das
sendmail-Kommando arbeitet.

Im Normalfall sendet das sendmail-Kommando immer *sofort* die Email
raus, genau wie auch ein Daemon, der an Port 25 lauscht. Dein Argument b)
ist ungültig. Der Cronjob ist nur notwendig für die Mails, die nicht
sofort zugestellt werden konnten und für "später" in der Queue gehalten
werden. (es gibt eine "Retry"-Zeit)

Sicher *kann* man seinen Mailserver so konfigurieren, dass er *nur* bei
einem "sendmail -q" die Mails rausschickt (mache ich z.B. bei meinem
Exim: queue_only = yes). Das ist für Dialup-Verbindungen praktisch, und
betrifft dann *natürlich* sowohl das Sendmail-Kommando als auch den
Daemon, der an Port 25 hängt.

> Daher moechte ich einen MTA laufen lassen,

Das Kommando "sendmail" ist ein MTA, ganz genauso wie der an Port 25
hängende Prozess. i.d.R. ist es sogar ein und dasselbe Binary. Es sind
zwei Schnittstellen zu ein und demselben System.

> und Mails auch nicht in einer Queue warten lassen.

Wiegesagt, das ist Quatsch. Ob die Mails nicht in einer Queue landen
oder nicht, hat nichts damit zu tun, *wie* der MTA aufgerufen wurde.

> Sendmail (und andere Mailer) bieten die Moeglichkeit, nur auf 127.0.0.1 zu 
> lauschen, und zumindest bei FreeBSD und Solaris ist das derzeit in der 
> Defaultkonfiguration.

Bei Debian GNU/Linux ist das ebenfalls eine gängige Option. Wird übrigens
auch bei MySQL gern gemacht. (bei UDP gibt es wieder die Frage nach dem
richtigen Pfad)

> Da sendmail dann nicht an externen Interfaces lauscht, ist es auch kein 
> Sicherheitsrisiko.

... jedenfalls kein größeres als das sendmail-Kommando. :-)


Viele Grüße,

	Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l