[Solaris_fr] Solaris 10 FCS X86 Sendmail Wrapper et utilisation de SASL

Mon, 7 Feb 2005 15:53:16 +0100 (MET) 

Attention au wrapper de Sendmail 8.13.3 en Solaris 10 !
=====================================================

Sendmail est wrappable et de fait wrappé dès que les fichiers /etc/hosts.allow
/etc/hosts.deny sont là.
Comme j'avais wrappé ssh mon sendmail était filtré sans que je le sache :

# cat /etc/hosts.allow

sshd:         10.1.1.


# cat /etc/hosts.deny

ALL: ALL: spawn (/usr/bin/mailx -s "Attempt on %s service from %c (%a)" root)


Du coup cela a provoqué une boucle de mail infernale avec une quantité 
phénoménale de requêtes dans /var/spool/clientmqueue. En plus syslog
s'est mis à afficher les erreurs dans toutes les fenêtres gnome-terminal
(session root).


Il faut donc rajouter des entrées pour sendmail (25) et sendmail (587) dans
/etc/hosts.allow du genre :

sendmail:       127.0.0.1 10.1.1.

Est-ce le  nom du démon (sendmail) ou du service (smtp, submission) qui est 
utilisé ?

Si c'est le nom du démon comme fait-on la différence entre 25 et 587 ?

Par ailleurs ce sendmail est linké avec SASL et il doit être aussi possible
de faire du SASL.



        libresolv.so.2 =>        /lib/libresolv.so.2
        libsocket.so.1 =>        /lib/libsocket.so.1
        libnsl.so.1 =>   /lib/libnsl.so.1
        libldap.so.5 =>  /usr/lib/libldap.so.5
        libsldap.so.1 =>         /usr/lib/libsldap.so.1
        libwrap.so.1 =>  /usr/sfw/lib/libwrap.so.1     <<<<<<<<<<<<<<<<
        libc.so.1 =>     /lib/libc.so.1
        libmp.so.2 =>    /lib/libmp.so.2
        libmd5.so.1 =>   /lib/libmd5.so.1              <<<<<<<
        libscf.so.1 =>   /lib/libscf.so.1
        libsasl.so.1 =>  /usr/lib/libsasl.so.1         <<<<<<<<<<<<<<<<
        libnspr4.so =>   /usr/lib/mps/libnspr4.so
        libplc4.so =>    /usr/lib/mps/libplc4.so
        libnss3.so =>    /usr/lib/mps/libnss3.so
        libssl3.so =>    /usr/lib/mps/libssl3.so       <<<<<<
        libdoor.so.1 =>  /lib/libdoor.so.1
        libuutil.so.1 =>         /lib/libuutil.so.1
        libpthread.so.1 =>       /lib/libpthread.so.1
        libthread.so.1 =>        /lib/libthread.so.1
        librt.so.1 =>    /lib/librt.so.1
        libdl.so.1 =>    /lib/libdl.so.1
        libsoftokn3.so =>        /usr/lib/mps/secv1/libsoftokn3.so
        libplds4.so =>   /usr/lib/mps/secv1/libplds4.so
        libaio.so.1 =>   /lib/libaio.so.1
        libm.so.2 =>     /lib/libm.so.2


Bugs de conf en Solaris 10
==========================

-rw-r--r--   1 root     bin         1423 Feb  3 18:49 aliases
-rw-r-----   1 root     smmsp      40960 Feb  3 19:11 aliases.db
drwxr-xr-x   9 root     mail         512 Feb  3 18:49 cf
-rw-r--r--   1 root     bin         5353 Jan 22 01:11 helpfile
-rw-r--r--   1 root     bin            0 Jan 22 01:11 local-host-names
-rw-r--r--   1 root     bin          163 Feb  3 19:19 Mail.rc
-rw-r--r--   1 root     bin         1839 Feb  3 18:43 mailx.rc
lrwxrwxrwx   1 root     root          11 Feb  3 18:49 main.cf -> sendmail.cf
-r--r--r--   1 root     bin        39900 Feb  3 18:49 sendmail.cf
-rw-r--r--   1 root     root       40075 Feb  7 14:57 sendmail.cf.sasl
lrwxrwxrwx   1 root     root           8 Feb  3 18:49 sendmail.hf -> helpfile
-r--r--r--   1 root     bin        40241 Feb  3 18:49 submit.cf
-rw-r--r--   1 root     root       40426 Feb  7 15:07 submit.cf.sasl
lrwxrwxrwx   1 root     root          11 Feb  3 18:49 subsidiary.cf -> 
sendmail.cf
-rw-r--r--   1 root     bin            5 Jan 22 01:11 trusted-users

Par défaut on a un main.cf au lieu d'avoir un subsidiary.cf.

Pourquoi subsidiary.cf et main.cf sont des liens vers un même fichier ?



Questions SASL
==============

Je souhaiterais mettre en place l'authentification SASL pour faire une 
authentification basique dans un premier temps (pas de SSL) et dans un
but purement pratique de manière à éviter des propagation de messages
de manière incontrôlée (virus par exemple).

La doc Sun SASL (3 pages) indique que répertoire SASL est /etc/sasl et je 
suppose que c'est la qu'on crée un fichier Sendmail.conf l'une des 3 valeurs :

# /etc/sasl/Sendmail.conf

# Base SASL dédiée renseignée avec saslpasswd
#pwcheck_method: sasldb

# Module PAM (ajout de modules de pam.conf ?)
#pwcheck_method: pam

# Fichier /etc/shadow
pwcheck_method: shadow

Par ailleurs il faut regénérer un fichier sendmail.cf. Le plus logique serait
de faire l'authentification au niveau de la soumission et donc d'utiliser le 
submit.cf. L'ajout de ces 2 lignes est-il suffisant.


TRUST_AUTH_MECH(`DIGEST-MD5 PLAIN LOGIN')dnl
define(`confAUTH_MECHANISMS',`DIGEST-MD5 PLAIN LOGIN')dnl

Il semble que non.


[EMAIL PROTECTED] mailq     
Warning: Option: AuthMechanisms requires SASL support (-DSASL)
Warning: Option: DefaultAuthInfo requires SASL support (-DSASL)
/var/spool/mqueue is empty
                Total requests: 0

Pourtant sendmail est bien compilé avec SASL.


--
Christian Pélissier
Office National d'Études et de Recherches Aérospatiales BP 72 92322 Chatillon
Tel: 33 1 46 73 44 19, Fax: 33 1 46 73 41 50

_______________________________________________
Solaris_fr liste de diffusion en français pour Solaris, sur toutes architectures
Solaris_fr@x86.sun.com
http://x86.sun.com/mailman/listinfo/solaris_fr

Répondre à