Home » Program » バージョン隠蔽 (sendmail) (Tag: )

インターネット上にサービスを公開しているサーバは、そのバージョン情報を表示しないことが 1 つの安全策として語られています。

最近の DoS の傾向を見ているとそれ程有用性が高いとも感じませんが、1 つのポリシーとしては依然有効と見ています。ここでは、sendmail の対応方法について説明します。

SmtpGreetingMessage (sendmail.cf)

変更前:

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

変更後:

O SmtpGreetingMessage=$j Drive Network SMTP Server Ready

マクロ $v と $Z がバージョン情報を展開するため、削除するか好みのメッセージに変更します。$v は sendmail バイナリバージョンで、$Z は sendmail.cf 内の DZ の値が展開されます。

Received: (sendmail.cf)

変更前:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.$?{auth_type}(authenticated$?{auth_ssf} bits=${auth_ssf}$.)
        $.by $j ($v/$Z)$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits} verify=${verify})$.$?u
        for $u; $|;
        $.$b$?g
        (envelope-from $g)$.

変更後:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.by $j$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits}); $|;$.
        $b

上記の例では、$v, $Z 以外に smtp auth に関する行や envelope-from の行をすべて削除しています。アカウント情報の漏洩につながりかねないので、削除した方が無難と考えます。

helpfile

diff:

16c16
< #smtp This is sendmail version $v
---
> smtp  This is sendmail version $v
23,24c23,24
< #smtp To report bugs in the implementation see
< #smtp         http://www.sendmail.org/email-addresses.html
---
> smtp  To report bugs in the implementation see
> smtp          http://www.sendmail.org/email-addresses.html
63c63
< quit          Exit SMTP.
---
> quit          Exit sendmail (SMTP).
71c71
< verb          by humans and other implementations.
---
> verb          by humans and other sendmail implementations.
133,136c133,136
< control       restart         Restart.
< control       shutdown        Shutdown.
< control       status          Show Status.
< control       mstat           Show Status (machine readable format).
---
> control       restart         Restart sendmail.
> control       shutdown        Shutdown sendmail.
> control       status          Show sendmail status.
> control       mstat           Show sendmail status (machine readable format).

$v 以外にも sendmail に関する文字も消すことで、バージョンだけでなくプログラム名も隠蔽することが出来ます。

helpfile は変更後ただちに反映しますが、sendmail.cf は変更後 sendmail の再起動が必要です。

Random Select

Office Desk
この手の手続きは、何かきっかけがないと (きっかけがあっても) 腰が重いクセが抜けません。現在地には 2006/09 に転入しましたが、この時は住民票のみ移して、戸籍謄本や印鑑証明の処理はしませんでし
海底遺跡 (3)
与那国島 (No. 10 – 居処屋どぅーらい) の続きです。翌朝は与那国観光の目的の 1 つである海底遺跡を訪れました。グラスボートやスノーケリング・ダイビングと方法がありますが、今回は
スタートアップ
年明け最初の すし銚子丸 (千葉・東京・埼玉・神奈川のお寿司屋さん) は、自宅から歩いて 5 分程度の距離にある綾瀬店を訪れました。訪れたのは 1 月中旬ですが、年末年始からのキャンペーンが継続してい
そば定食
沖縄支店から歩いて 1, 2 分程の距離にある とんかつ とんき は、過去に一度行ったことがありますが、その時は何を食べたかも覚えてなく、印象には差程残っていませんでした。ただ、前々回 (2012/0
久高島 (1)
沖縄では 6/23 頃梅雨明けしたそうですね。梅雨明けましておめでとうございます。今年の夏もよろしくお願いします。(笑)今回は沖縄本島からフェリーで 20 分程度の距離にある久高島を散策した時の景色を
県産まぐろのユッケ丼 卵のせ
石垣島 (No. 1 ? ユーグレナモール・ゆいロード) の続きです。ゆいロードを八重山郵便局方面にしばらく行くと、初めは雑貨屋さんかと思いましたが島ごはん まかない屋 に魅かれました。"栄
ガーリックチャーハン + コンビーフハッシュ (1)
野菜炒め + コンビーフハッシュ に続いて、銀座わしたショップ 2014/07/03 (コンビーフハッシュ) で入手したコンビーフハッシュで何を作ろうか迷っていました。ちゃんぽんも考えて粉末の出汁まで
Firefox Logo
linux-firefox 12 では、ja-acroread9-9.4.2_1 の動作に問題はないと書きました。事前に Adobe Reader 9,カーネルモジュール使い FreeBSD で動作
Logicool Ultrathin Touch Mouse T630 (5)
VAIO Fit 13A + Logicool Ultrathin Touch Mouse T630 (Part 1) の続きです。取扱説明書通り、Bluetooth 接続を済ませます。Logicoo
Drive Network Philosophy
Drive Network のこだわり (SSL 証明書) に続いてご紹介。一般的なお客様にはなじみが薄いかもしれませんが、2004 年頃には Web サイトと Web ブラウザの通信の暗号化以外にも
Valid HTML5 Valid CSS3 Another HTML Lint