Home » Program » バージョン隠蔽 (sendmail) (Tag: )

インターネット上にサービスを公開しているサーバは、そのバージョン情報を表示しないことが 1 つの安全策として語られています。

最近の DoS の傾向を見ているとそれ程有用性が高いとも感じませんが、1 つのポリシーとしては依然有効と見ています。ここでは、sendmail の対応方法について説明します。

SmtpGreetingMessage (sendmail.cf)

変更前:

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

変更後:

O SmtpGreetingMessage=$j Drive Network SMTP Server Ready

マクロ $v と $Z がバージョン情報を展開するため、削除するか好みのメッセージに変更します。$v は sendmail バイナリバージョンで、$Z は sendmail.cf 内の DZ の値が展開されます。

Received: (sendmail.cf)

変更前:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.$?{auth_type}(authenticated$?{auth_ssf} bits=${auth_ssf}$.)
        $.by $j ($v/$Z)$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits} verify=${verify})$.$?u
        for $u; $|;
        $.$b$?g
        (envelope-from $g)$.

変更後:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.by $j$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits}); $|;$.
        $b

上記の例では、$v, $Z 以外に smtp auth に関する行や envelope-from の行をすべて削除しています。アカウント情報の漏洩につながりかねないので、削除した方が無難と考えます。

helpfile

diff:

16c16
< #smtp This is sendmail version $v
---
> smtp  This is sendmail version $v
23,24c23,24
< #smtp To report bugs in the implementation see
< #smtp         http://www.sendmail.org/email-addresses.html
---
> smtp  To report bugs in the implementation see
> smtp          http://www.sendmail.org/email-addresses.html
63c63
< quit          Exit SMTP.
---
> quit          Exit sendmail (SMTP).
71c71
< verb          by humans and other implementations.
---
> verb          by humans and other sendmail implementations.
133,136c133,136
< control       restart         Restart.
< control       shutdown        Shutdown.
< control       status          Show Status.
< control       mstat           Show Status (machine readable format).
---
> control       restart         Restart sendmail.
> control       shutdown        Shutdown sendmail.
> control       status          Show sendmail status.
> control       mstat           Show sendmail status (machine readable format).

$v 以外にも sendmail に関する文字も消すことで、バージョンだけでなくプログラム名も隠蔽することが出来ます。

helpfile は変更後ただちに反映しますが、sendmail.cf は変更後 sendmail の再起動が必要です。

Random Select

Dr. コトー診療所 (自転車)
与那国島 (No. 7 – Dr. コトー診療所 Part 1) の続きです。まずは事務室の中から。おぉ。。和田さんがカメラの手入れをしていそうです。そして病室。ドラマでは窓から外が映る際
Lavender
2009 年 5 月頃に初めて縮毛矯正をかけました。矯正前はドライヤーで伸ばせばストレートに間違われる程度のクセ毛です。ただし、湿気の多い日などは、あっと言う間にくるっとうねったりくるんと縮んだりと、
名物チャントン
ここ最近、銀座でランチする時に気になっているお店があります。いさば (日本一美味しいサバの塩焼き) はすでに定番ですが、銀座 いし井 (中華せいろ) との間に挟まれている 元祖 博多チャンポン ハカタ
クラッシュスィーツ (2)
沖縄本島 (No. 45 – 町の灯こつぶ) の続きです。到着日に同行した友達が、以前から気になっていた 沖縄本島 (No. 30 – ハンバーグとパンケーキのお店 うるり)
FreeBSD Logo
携帯電話を ARROWS X F-10D に変更した後、調査不足かもしれませんが写真の解像度が 3M か 13M しか選択出来なくなりました。3M では以前使用していた X06HTII よりも劣るため
FreeBSD Logo
最近 Drive Network では 共有サーバ ビジネスセレクト に使用する機器を変更しました。(Drive Network Rack Gallery 2012 (Part 4))ハードディスクに
サラダとドレッシング
今回の沖縄出張は 10/04 入りの 10/20 帰りでした。本筋の目的は 10/09 – 10/19 で業務しましたが、ここからは最近の定宿 ホテル ノア での寝起きになります。ここであ
WS-C2960S-48TS-L (1)
Cisco Catalyst は SSH でのログインも可能ですが、enable する方法が独特です。aaa new-modelcrypto key generate rsa今回は以下のバージョンでの
新開発 ! 超クリーミー泡サーバー (6)
新開発 ! 超クリーミー泡サーバー (Part 1) の続きです。1 枚の応募で 20 点分があたる応募台紙が 4 枚程集まったところで、早速応募してみました。"応募はこちら !"
ARROWS X F-10D
ARROWS X F-10D (No. 3) の続きです。電源が入らなくなりました使い始めて 8 ヶ月程で数回腰程の高さから落としてしまったことがあります。リアカバー (裏フタ) までパカッと開いてお
Valid HTML5 Valid CSS3 Another HTML Lint