Home Update クッキー及びWeb ビーコンについて



Postfixをchroot環境にする

Postfixでのchroot構築

Postfix を chroot 環境で動作することによってセキュリティを高めます。




■プロセスの確認

 まず、chrootの状態でない場合のPostfix のプロセスを確認してみます。以下は、メールの送信直後に、psでプロセスを表示させたものです。chroot で動作するようになると、pickup -l -t fifo -u -c のように-c オプションが表示されるようになります。それでは、実際にchroot 環境で動作させる方法について解説していきます。

# ps aux | grep postfix
root 1913 0.0 0.3 2500 936 ? S 16:43 0:00 /usr/libexec/postfix/master
postfix 1914 0.0 0.3 2488 868 ? S 16:43 0:00 pickup -l -t fifo -u
postfix 1915 0.0 0.3 2540 952 ? S 16:43 0:00 qmgr -l -t fifo -u
postfix 1918 0.3 0.5 3132 1528 ? S 16:43 0:00 smtpd -n smtp -t inet -u
postfix 1919 0.1 0.3 2480 856 ? S 16:43 0:00 proxymap -t unix -u
postfix 1920 0.3 0.3 2552 956 ? S 16:43 0:00 cleanup -z -t unix -u
postfix 1921 0.1 0.3 2508 884 ? S 16:43 0:00 trivial-rewrite -n rewrite -t unix -u
postfix 1922 0.1 0.3 2560 976 ? S 16:43 0:00 smtp -t unix -u
postfix 1929 0.1 0.4 2736 1236 ? S 16:43 0:00 local -t unix



■スクリプトの実行

 Postfix には、chrootさせるためのシェルスクリプトが用意されており、ソースディレクトリ内のexamples/chroot-setup に各ディストリビューションごとのスクリプトが格納されています。Linux であればLINUX2を実行します。

# cd /usr/local/src/postfix-2.0.16/examples/chroot-setup/
# sh LINUX2

postfix/postfix-script: refreshing the Postfix mail system

■/etc/postfix/master.cf の編集

 次に、/etc/postfix/master.cf を開いてchrootを有効にする設定を行います。デフォルトの状態では、全てのプログラムがchrootしない設定になっているので(「n」)、これを「y」に変更してchrootを有効にします。ここで、注意しておきたいのは、local、pipe、virtual に関してはchroot させないようにしてください。local をchrootさせると、メールの格納される場所が通常の /var/mail/kororo もしくは、/home/kororo/Maildir/ ではなく、/var/spool/postfix/var/mail/kororo のようにqueue_directory(デフォルトでは、/var/spool/postfix)から見た相対位置にメールが保存されることになってしまいます。よって、local デーモンに対してはchrootしないようにします。

# vi /etc/postfix/master.cf
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       y       -       -       smtpd
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       nqmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       y       -       -       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp

 編集し終えたら、/etc/sasldb2 を/var/spool/postfix/etc/sasldb2 にハードリンクしておきます。なお、/etc/aliases.db に関してはlocal デーモンが参照するので、/var/spool/postfix 以下に配置しておく必要はありませんので注意してください。

# mkdir /var/spool/postfix/etc
# ln /etc/sasldb2 /var/spool/postfix/etc

 Postfix をリロードします。あとはテスト送信してみて正常に動作するかどうか確認してください。

# postfix reload

■chrootの動作確認

 chroot 環境で動作している場合、各プログラムの末尾に-c オプションが表示されるようになります。local はchroot させていないため、-c オプションは表示されていません。

# ps aux | grep postfix
root 2018 0.0 0.3 2492 928 ? S 16:44 0:00 /usr/libexec/postfix/master
postfix 2019 0.0 0.3 2484 868 ? S 16:44 0:00 pickup -l -t fifo -u -c
postfix 2020 0.0 0.3 2536 948 ? S 16:44 0:00 qmgr -l -t fifo -u -c
postfix 2023 0.4 0.5 3132 1528 ? S 16:46 0:00 smtpd -n smtp -t inet -u -c
postfix 2024 0.2 0.3 2480 860 ? S 16:46 0:00 proxymap -t unix -u -c
postfix 2025 0.2 0.3 2552 956 ? S 16:46 0:00 cleanup -z -t unix -u -c
postfix 2026 0.4 0.3 2512 888 ? S 16:46 0:00 trivial-rewrite -n rewrite -t unix -u -c
postfix 2027 0.2 0.3 2560 976 ? S 16:46 0:00 smtp -t unix -u -c
postfix 2034 0.2 0.4 2740 1240 ? S 16:46 0:00 local -t unix







TOPに戻る

Sponcerd Link


Search
 
Web サイト内
Rental Server

【レンタルサーバのXbit】 低価格・高品質のビジネスクオリティー。300メガ1,050円〜30分で サービススタート可能!


容量300MB、月額125円、高性能なサーバが日本最大級のバックボーンに直結。
さくらのレンタルサーバ



当サイトはLinux自宅サーバーの構築を目的としたサイトです。
当サイトに関するご意見、ご要望等は、こちらのメールアドレスよりお願いします。
Beginning | Introduction | Installation | Server |
Security | Tips | Guest Book | Related-Sites
Copyright©2003-2006 KORO All Rights Reserved.
総計:
今日:
昨日: