Home » Program » バージョン隠蔽 (sendmail) (Tag: )

インターネット上にサービスを公開しているサーバは、そのバージョン情報を表示しないことが 1 つの安全策として語られています。

最近の DoS の傾向を見ているとそれ程有用性が高いとも感じませんが、1 つのポリシーとしては依然有効と見ています。ここでは、sendmail の対応方法について説明します。

SmtpGreetingMessage (sendmail.cf)

変更前:

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

変更後:

O SmtpGreetingMessage=$j Drive Network SMTP Server Ready

マクロ $v と $Z がバージョン情報を展開するため、削除するか好みのメッセージに変更します。$v は sendmail バイナリバージョンで、$Z は sendmail.cf 内の DZ の値が展開されます。

Received: (sendmail.cf)

変更前:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.$?{auth_type}(authenticated$?{auth_ssf} bits=${auth_ssf}$.)
        $.by $j ($v/$Z)$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits} verify=${verify})$.$?u
        for $u; $|;
        $.$b$?g
        (envelope-from $g)$.

変更後:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.by $j$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits}); $|;$.
        $b

上記の例では、$v, $Z 以外に smtp auth に関する行や envelope-from の行をすべて削除しています。アカウント情報の漏洩につながりかねないので、削除した方が無難と考えます。

helpfile

diff:

16c16
< #smtp This is sendmail version $v
---
> smtp  This is sendmail version $v
23,24c23,24
< #smtp To report bugs in the implementation see
< #smtp         http://www.sendmail.org/email-addresses.html
---
> smtp  To report bugs in the implementation see
> smtp          http://www.sendmail.org/email-addresses.html
63c63
< quit          Exit SMTP.
---
> quit          Exit sendmail (SMTP).
71c71
< verb          by humans and other implementations.
---
> verb          by humans and other sendmail implementations.
133,136c133,136
< control       restart         Restart.
< control       shutdown        Shutdown.
< control       status          Show Status.
< control       mstat           Show Status (machine readable format).
---
> control       restart         Restart sendmail.
> control       shutdown        Shutdown sendmail.
> control       status          Show sendmail status.
> control       mstat           Show sendmail status (machine readable format).

$v 以外にも sendmail に関する文字も消すことで、バージョンだけでなくプログラム名も隠蔽することが出来ます。

helpfile は変更後ただちに反映しますが、sendmail.cf は変更後 sendmail の再起動が必要です。

Random Select

猫丸庵 メニュー (2)
沖縄本島 (No. 51 – コッコロコハウス) の続きです。約 1 年半前に沖縄入りした際、沖縄本島 (No. 1 – 猫丸庵 〜 根夢) で通り過ぎることはありましたが、今
タコライス 材料 (LAWRY'S タコミックス)
自宅 de タコライス (OLD EL PASO タコ・シーズニング Part 2) で、ようやく OLD EL PASO タコ・シーズニング + チェダーチーズ + Pace ピカンテソース の組み
Drive Network Core (WS-C3750E-48TD-E)
現在 Drive Network では L2, L3 スイッチが 20 台以上が稼働しています。過去 10 年程 Cisco Catalyst シリーズを使用して来て物理障害は一度もありませんが、設定
銀座わしたショップ 2014/11/13 (3)
銀座わしたショップ 2014/07/03 (コンビーフハッシュ) 以来 4 ヶ月ぶりに訪れました。沖縄本島 (No. 41 – A&W 那覇空港店 初ルートビア) で初挑戦したルー
カルビ空 (6)
10/29 は "肉の日" と言うことで、久しぶりにオフィス周辺で値段も味も "ニクい" お店を探して訪れてみることにしました。結局過去に何度か行ったことがある
ORANGINA 420ml
ここ 10 年程は、マクドナルド等ファーストフードでの昼食以外で意図して炭酸入りの清涼飲料水を飲むことはほぼありませんでした。一方、ここ 1 年程街角の自動販売機でその姿を見掛けて気になっていたところ
瀬底大橋 (2)
沖縄本島 (No. 3 – 本部港 Part 2) の続きです。出発して 2 分程で、あっと言う間に瀬底大橋が迫って来ました。さらにまた 1 分程経過。渡ったことは 2, 3 度ありますが
超クリーミー泡サーバー (12)
新開発 ! 超クリーミー泡サーバー (Part 5) の続きです。せっかくですから、旧バージョンのクリーミー生サーバーと並べてみました。デザイン的には超クリーミー泡サーバーの方が好みではあります。果た
iPhone 6 Plus (Gold)
iPhone 6 Plus (プロセス強制終了) の続きです。iPhone 6 Plus で受信確認が出来たドコモメールで、まずは会社用の私のメールアドレスに送信してみました。Subject: tes
特製塩らーめん (1)
都内で評価の相当高いつけ麺 道 が隣駅にあって以前から気になっていたため、一度日曜日に訪れてみたものの、あまりの長蛇の列に退散しました。今回は平日で 11:30 開店の 30 分程前に着けば、大して並
Valid HTML5 Valid CSS3 Another HTML Lint