教你怎样解决Sendmail服务器安全问题

　　Sendmail是在Unix环境下使用最广泛的实现邮件发送/接受的邮件传输代理程序。 由于Sendmail邮件服务器的特点是功能强大而复杂，因此为保证Sendmail的安全性，需要作以下一些工作。

　　1、设置Sendmail使用"smrsh"

　　smrsh程序的目的是作为在mailer中为sendmail定义的"/bin/sh"的替代shell。smrsh是一种受限shell工具，它通过"/etc/smrsh"目录来明确指定可执行文件的列表。简而言之smrsh限制了攻击者可以执行的程序集。当它与sendmail程序一起使用的时候，smrsh有效的将sendmail可以执行的程序的范围限制在smrsh目录之下。

　　第一步：

　　决定smrsh可以允许sendmail运行的命令列表。缺省情况下应当包含以下命令，但不局限于这些命令：

　　"/bin/mail" (如果在你的系统中安装了的话)

　　"/usr/bin/procmail" (如果在你的系统中安装了的话)

　　注意：不可在命令列表里包括命令解释程序，例如sh(1)，csh(1)，perl(1)，uudecode(1)及流编辑器sed(1)。

　　第二步：

　　在"/etc/smrsh"目录中创建允许sendmail运行的程序的符号连接。

　　使用以下命令允许mail程序"/bin/mail"运行：

　　[root@deep]# cd /etc/smrsh

　　[root@deep]# ln -s /bin/mail mail

　　用以下命令允许procmail程序"/usr/bin/procmail"运行：

　　[root@deep]# cd /etc/smrsh

　　[root@deep]# ln -s /usr/bin/procmail procmail

　　这将允许位于".forward"和"aliases"中的用户采用"|program"语法来运行mail及procmail程序。

　　第三步

　　配置sendmail使之使用受限shell。mailer程序在sendmail的配置文件"/etc/sendmail.cf"中仅有一行。必须修改"sendmail.cf"文件中"Mprog"定义的那一行。将"/bin/sh"替换为"/usr/sbin/smrsh"。