smrsh(1M) smrsh(1M)
NAME
smrsh - Eingeschränkt verwendbare Shell für sendmail
SYNTAX
smrsh -c command
BESCHREIBUNG
Das Programm smrsh soll sh ersetzen und ist für die Verwendung in der
Spezifikation "Local and Program Mailer" in den Standardkonfigurati-
onsdateien von sendmail(1M) vorgesehen. Es schränkt die Kommandos, die
mit der "|program"-Syntax von sendmail ausgeführt werden können, erhe-
blich ein, um die Gesamtsicherheit Ihres System zu verbessern. Kurz
gesagt bedeutet dies, daß smrsh die Anzahl der ausführbaren Programme
einschränkt, wenn es beispielsweise einer unbefugten Person gelingt,
über sendmail ein Programm auszuführen, ohne dabei über eine Alias-
oder Forward-Datei (Weiterleitungsdatei) zu gehen.
smrsh beschränkt die Programme auf das Verzeichnis /usr/adm/sm.bin, so
daß der Systemadministrator die Menge der geeigneten Kommandos auswäh-
len kann. Ferner weist smrsh alle Kommandos zurück, die die Zeichen
"`", "<", ">", "|", ";", "&", "$", "(", ")", "\r" (Carriage Return)
oder "\n" (Zeilenvorschub) in der Kommandozeile enthalten, um irrtüm-
liche Ausführungen zu verhindern.
Die vor den Programmen stehenden Pfadnamen werden entfernt, so daß bei
einer Weiterleitung in /usr/ucb/vacation, /usr/bin/vacation,
/home/server/mydir/bin/vacation und vacation tatsächlich eine Weiter-
leitung in /usr/adm/sm.bin/vacation erfolgt.
Systemadministratoren sollten bei der Aufnahme von Kommandos in das
Verzeichnis /usr/adm/sm.bin möglichst Zurückhaltung üben. Vertretbare
Hinzufügungen wären beispielsweise notify(1), vacation(1) und ähnli-
che. Egal wie sehr Sie unter Druck gesetzt werden, Sie sollten niemals
Shell- oder Shell-ähnliche Programme (wie perl) in das Verzeichnis
sm.bin aufnehmen, da die Verwendung von Shell- oder Perl-Skripts im
Verzeichnis sm.bin (mit der "#!"-Syntax) nicht eingeschränkt wird;
lediglich die Berechtigung zur Ausführung beliebiger Programme wird
verweigert.
KOMPILIERUNG
Die Kompilierung sollte bei den meisten Systemen problemlos ablaufen.
Möglicherweise müssen Sie -DPATH=\"path\" zur Anpassung des Standard-
suchpfads (/bin:/usr/bin:/usr/ucb) und/oder -DCMDBIN=\"dir\" zum
Ändern des Standardprogrammverzeichnisses (/usr/adm/sm.bin) verwenden.
DATEIEN
/usr/adm/sm.bin
Verzeichnis für eingeschränkt verwendbare Programme
SIEHE AUCH
sendmail(1M).
Seite 1 Reliant UNIX 5.44 Gedruckt 4/99