Museum

Home

Lab Overview

Retrotechnology Articles

Online Manuals

⇒ smrsh(1M) — Reliant UNIX 5.44c4

Media Vault

Software Library

Restoration Projects

Artifacts Sought

Related Articles

sendmail(1M)

smrsh(1M)                                                         smrsh(1M)

NAME
     smrsh - Eingeschränkt verwendbare Shell für sendmail

SYNTAX
     smrsh -c command

BESCHREIBUNG
     Das Programm smrsh soll sh ersetzen und ist für die Verwendung in der
     Spezifikation "Local and Program Mailer" in den Standardkonfigurati-
     onsdateien von sendmail(1M) vorgesehen. Es schränkt die Kommandos, die
     mit der "|program"-Syntax von sendmail ausgeführt werden können, erhe-
     blich ein, um die Gesamtsicherheit Ihres System zu verbessern. Kurz
     gesagt bedeutet dies, daß smrsh die Anzahl der ausführbaren Programme
     einschränkt, wenn es beispielsweise einer unbefugten Person gelingt,
     über sendmail ein Programm auszuführen, ohne dabei über eine Alias-
     oder Forward-Datei (Weiterleitungsdatei) zu gehen.

     smrsh beschränkt die Programme auf das Verzeichnis /usr/adm/sm.bin, so
     daß der Systemadministrator die Menge der geeigneten Kommandos auswäh-
     len kann. Ferner weist smrsh alle Kommandos zurück, die die Zeichen
     "`", "<", ">", "|", ";", "&", "$", "(", ")", "\r" (Carriage Return)
     oder "\n" (Zeilenvorschub) in der Kommandozeile enthalten, um irrtüm-
     liche Ausführungen zu verhindern.

     Die vor den Programmen stehenden Pfadnamen werden entfernt, so daß bei
     einer Weiterleitung in /usr/ucb/vacation, /usr/bin/vacation,
     /home/server/mydir/bin/vacation und vacation tatsächlich eine Weiter-
     leitung in /usr/adm/sm.bin/vacation erfolgt.

     Systemadministratoren sollten bei der Aufnahme von Kommandos in das
     Verzeichnis /usr/adm/sm.bin möglichst Zurückhaltung üben. Vertretbare
     Hinzufügungen wären beispielsweise notify(1), vacation(1) und ähnli-
     che. Egal wie sehr Sie unter Druck gesetzt werden, Sie sollten niemals
     Shell- oder Shell-ähnliche Programme (wie perl) in das Verzeichnis
     sm.bin aufnehmen, da die Verwendung von Shell- oder Perl-Skripts im
     Verzeichnis sm.bin (mit der "#!"-Syntax) nicht eingeschränkt wird;
     lediglich die Berechtigung zur Ausführung beliebiger Programme wird
     verweigert.

KOMPILIERUNG
     Die Kompilierung sollte bei den meisten Systemen problemlos ablaufen.
     Möglicherweise müssen Sie -DPATH=\"path\" zur Anpassung des Standard-
     suchpfads (/bin:/usr/bin:/usr/ucb) und/oder -DCMDBIN=\"dir\" zum
     Ändern des Standardprogrammverzeichnisses (/usr/adm/sm.bin) verwenden.

DATEIEN
     /usr/adm/sm.bin
          Verzeichnis für eingeschränkt verwendbare Programme

SIEHE AUCH
     sendmail(1M).




Seite 1                      Reliant UNIX 5.44                Gedruckt 4/99

Typewritten Software • bear@typewritten.org • Edmonds, WA 98026