Home » Program » バージョン隠蔽 (sendmail) (Tag: )

インターネット上にサービスを公開しているサーバは、そのバージョン情報を表示しないことが 1 つの安全策として語られています。

最近の DoS の傾向を見ているとそれ程有用性が高いとも感じませんが、1 つのポリシーとしては依然有効と見ています。ここでは、sendmail の対応方法について説明します。

SmtpGreetingMessage (sendmail.cf)

変更前:

O SmtpGreetingMessage=$j Sendmail $v/$Z; $b

変更後:

O SmtpGreetingMessage=$j Drive Network SMTP Server Ready

マクロ $v と $Z がバージョン情報を展開するため、削除するか好みのメッセージに変更します。$v は sendmail バイナリバージョンで、$Z は sendmail.cf 内の DZ の値が展開されます。

Received: (sendmail.cf)

変更前:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.$?{auth_type}(authenticated$?{auth_ssf} bits=${auth_ssf}$.)
        $.by $j ($v/$Z)$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits} verify=${verify})$.$?u
        for $u; $|;
        $.$b$?g
        (envelope-from $g)$.

変更後:

HReceived: $?sfrom $s $.$?_($?s$|from $.$_)
        $.by $j$?r with $r$. id $i$?{tls_version}
        (version=${tls_version} cipher=${cipher} bits=${cipher_bits}); $|;$.
        $b

上記の例では、$v, $Z 以外に smtp auth に関する行や envelope-from の行をすべて削除しています。アカウント情報の漏洩につながりかねないので、削除した方が無難と考えます。

helpfile

diff:

16c16
< #smtp This is sendmail version $v
---
> smtp  This is sendmail version $v
23,24c23,24
< #smtp To report bugs in the implementation see
< #smtp         http://www.sendmail.org/email-addresses.html
---
> smtp  To report bugs in the implementation see
> smtp          http://www.sendmail.org/email-addresses.html
63c63
< quit          Exit SMTP.
---
> quit          Exit sendmail (SMTP).
71c71
< verb          by humans and other implementations.
---
> verb          by humans and other sendmail implementations.
133,136c133,136
< control       restart         Restart.
< control       shutdown        Shutdown.
< control       status          Show Status.
< control       mstat           Show Status (machine readable format).
---
> control       restart         Restart sendmail.
> control       shutdown        Shutdown sendmail.
> control       status          Show sendmail status.
> control       mstat           Show sendmail status (machine readable format).

$v 以外にも sendmail に関する文字も消すことで、バージョンだけでなくプログラム名も隠蔽することが出来ます。

helpfile は変更後ただちに反映しますが、sendmail.cf は変更後 sendmail の再起動が必要です。

Random Select

辺戸岬 (伊是名島・伊平屋島)
沖縄出張 (No. 32 – ワルミ大橋 〜 古宇利島) を後にして、次はどこに行くか少々迷いました。以前訪れた北部の滝が ター滝 なのか、フンガー滝 だったか記憶が怪しいことが分かり、ど
黒島 (3)
黒島 (No. 1 – 石垣港離島ターミナル 〜 竹富島) の続きです。中央に小浜島、左手に西表島が見えて来ました。また後ろを振り返ると、尾行が続いています。追い上げそうでしたが、もう 1
Drive Network Philosophy
FTP サーバプログラムはいくつか存在しますが、FreeBSD 付属の ftpd を拡張した BSDftpd-ssl の例を紹介します。FTP サーバに接続した際、サーバがクライアントに応答するメッセ
城山 (2)
伊江島 (No. 1 – 上陸) の続きです。伊江港ターミナルに降り立ち、車に乗り込む頃にはすっかりお昼時でした。ランチにするか迷いつつ簡単に島を流し始めると城山 (ぐすくやま) が見えま
東京国際展示場 (2)
2013/05/08 – 2013/05/10 で開催されている クラウド コンピューティング EXPO に足を運んでみました。従来この手のイベントには参加しませんが、今もなお定義が確固と
とり唐揚定食 (ご飯大盛り)
現在足立区綾瀬に住んで 6 年が過ぎましたが、この地に引っ越してきて実に良かったことの 1 つは、味安 を見つけたことです。地元ではかなりの有名店の様です。すでに 30 年以上もこの地で続けているとか
VAIO Fit 13A (背面)
hp dv5 has broken again and again で 5 年 3 ヶ月程愛用してきた hp dv5 の 5 回目の故障を機に、新たにノート PC を購入することにしました。初めてノー
FreeBSD 9.1-RELEASE 1280x960
自宅や出張時に使用しているノート PC (hp dv5 has broken again) はホスト OS を Windows 7, ゲスト OS に FreeBSD をインストールしています。今回改
東京タワー (5)
神田カレーグランプリ 2013 を雰囲気だけ "味わった" 後は、銀座・八重洲と友達の行きたい場所を案内しました。日曜日の銀座を歩くのはとても久しぶりで、松屋銀座や Apple S
岸本そば 大 + じゅーしー
今回の出張も土・日を含んでいます。数人で日曜日に北部に繰り出すこととなりました。一番の目的は北部ですでに咲いている桜を見ることです。内地の桜とは違い、かなりピンク色が濃いとは聞いていますし、2 月には
Valid HTML5 Valid CSS3 Another HTML Lint