Re: qmail or not qmail?
Hello!
On Wednesday 27 January 2010 20:09:00 Stanislav Vlasov wrote:
> 27 января 2010 г. 18:11 пользователь Alexey Pechnikov
> <pechnikov@mobigroup.ru> написал:
> >> > Единственный серьезный баг в qmail - на превышение 2 Гб хидера - вас
> >> > ровно так же не затрагивает. Причем есть путь обхода (ограничение
> >> > ресурсов), причем это уже прописано в дебиановском init-скрипте и для
> >> > нас с вами представляет не более чем теоретический интерес.
> >> При этом, эксплуатация бага возможна в случае, если ограничение
> >> ресурсов поставить больше, чем на 2Гб вообще, а не 2Гб на хидер.
>
> > Больше 2Гб на письмо? Оно вам надо?.. Притом в дебиановской сборке, если
> > уж на то пошло, 4 Гб...
>
> Больше 2Гб на _процесс_ открывает дырку.
По-мелкому, но обманываете - там unsigned int - 4 Гб.
> А Nxx мегабайт на письмо, да еще не факт, что не одновременно
> несколько - это хотят пользователи. Пока еще только хотят.
Попробуйте exim-ом такое письмо обработать, подозреваю, что проблемы
словите много раньше, чем достигнете 4 Гб размера письма. Что касается
нескольких, то qmail письма в отдельных процессах обрабатывает, так
что лимит касается именно одного письма.
> >> Процитируйте. Или не приписывайте лишнего.
>
> > Вы же утверждали, что даже ошибки exim нам даны свыше и мы обязаны их
> > смиренно принимать, не пытаясь заменить exim. А вот 1 ошибка qmail с
> > переполнением в заголовке вам спать почему-то не дает.
>
> Процитируйте, где я вообще говорил про ексим.
Помню, у вас постфикс. Суть дела от этого не меняется, т.к. исходники
постфикса, насколько я понимаю, вы тоже не смотрели. Но почему-то
доверяете, что там нет багов...
> Про ошибки - мог не так выразиться, но тем не менее, данная ошибка
> вполне себе даёт удалённого рута, если правильно помню.
Не факт, что в других системах нет такой же ошибки. Но qmail очень
тщательно тестировали и тестируют, в т.ч. благодаря громкому заявлению
DJB о выплате денег за секьюрити баги.
> С 0 - не напишу. Не с нуля - не вижу патча, который позволил бы хотя
> бы проверить по списку RBL
Для этого патч не нужен. Используйте rblsmtpd.
> и про попадании не меньше чем в N - либо отопнуть, либо добавить хидер
> с указанием.
Насчет "не меньше чем в N" я не в курсе, обычно N==1.
> Или патча, который позволит
> проверить helo/from/to/ip внешними средствами и получить решение о
> приёме до посылки ответа на DATA.
Я уже писал:
Вот что касается патчей (по ссылке выше можете посмотреть и другие ресурсы):
http://www.ru.qmail.org/docs/lwq/lwq.html#patches
Например, выбираете пункт "5.12. Отклонение недействительных получателей во
время SMTP-сессии" в оглавлении, узнаете, что список соответствующих патчей
доступен здесь: http://netdevice.com/qmail/rcptck/ и также вам предлагается
ссылка на рекомендуемый патч.
Добавлю, что ip можно проверять внешними средствами, как пример - уже
упоминавшийся rblsmtpd.
> > Если вы, конечно, не захотите прежде подумать - почему
> > мантейнер деб-пакета не делает этого.
>
> Вероятные причины (судя по неполным аналогам из открытых багов):
> 1) добавил разрозненные патчи, покрывающие какую-то функциональность и
> успокоился.
> 2) не предлагали что-то похожее.
Ну что с вами сделать, чтобы вы перестали на кофейной гуще гадать :-)
Итак, почти весь софт от DJB мантейнит Gerrit Pape, к тому же он и сам
разрабатывает очень интересные аналоги и другие утилиты (и в т.ч. он же
мантейнер dash). Когда-то он поднимал вопрос о том, что qmail в дебиане
на правах золушки (примерно как тикль, кстати), и что это за дурацкая
политика, требующая пренебрегать отличным public domain ПО. Пакеты
с qmail и netqmail он собрал и зааплодил на ftp-master, но до сих пор их
"маринуют". Подробнее см. здесь:
http://smarden.org/pape/Debian/sid.html
Так что причины - в бюрократии, увы.
> > Ой как все запущено... Апеллировать к тому, что в команде adduser может
> > проявиться баг именно при установке qmail - это бред собачий. И на любом
> > дебиан-хосте нижеприведенная команда работает как ей и полагается:
> > adduser --system --no-create-home --quiet --home $home --gid $gid --uid $uid
> > --gecos \'$gecos\' $name >/dev/null 2>&1
>
> Ой как всё запущено... То есть допустить, что юзер с uid 64010 в
> системе может уже быть вы не в состоянии?
Опять вы в чем-то непотребном мантейнера подозреваете :-) Позвольте мне
все же отослать вас к preinst скрипту, вместо того, чтобы его целиком здесь
приводить. Есть там такая проверка, не волнуйтесь.
Best regards, Alexey Pechnikov.
http://pechnikov.tel/
Reply to: