7379 2005-07-15 14:13:53 +0400 Предлагаю внести изменения для демона spamd 2008-03-10 12:59:28 +0300 1 1 4 Development Sisyphus spamassassin-spamd unstable all Linux CLOSED WONTFIX P1 enhancement --- 1 serpiph asy asy lakostis ldv vvk qa-sisyphus oldest_to_newest 27326 0 serpiph 2005-07-15 14:13:53 +0400 На данный момент spamd запускается под root. Предлагаю сделать его не-root: 1. Завести псевдопользователя spamd и дать ему группу mail 2. В /etc/sysconfig/spamd написать: RUNAS=spamd PIDFILE=/var/run/spamd/spamd.pid SPAMDOPTIONS="-L" 3. Завести каталог /var/run/spamd с правами 755 (или 770 как у меня) для spamd:mail (для того, чтобы он мог в качестве пользователя spamd писать в него) 4. Изменить файл /etc/rc.d/init.d/spamd: start_daemon --pidfile "$PIDFILE" --lockfile "$LOCKFILE" --expect-user "$RUNAS" -- spamd -d --pidfile=$PIDFILE $SPAMDOPTIONS на start_daemon --pidfile "$PIDFILE" --lockfile "$LOCKFILE" --expect-user "$RUNAS" -- spamd -d --pidfile="$PIDFILE" --username="$RUNAS" $SPAMDOPTIONS 5. Права на каталог /var/spool/spamassassin сделать 755 (или 775 как у меня), владелец:группа: root:mail. Для чего это надо? Когда spamd работает как root, то для обеспечения безопасности при связи с клиентом он менять uid на uid клиента. Из-за этого при работе нескольких разных клиентов, в частности, postfix и обычный пользователь, какой-нибудь из них не может обработать почту из-за того, что возникает ошибка работы с базой данных (не может открыть), и spamd начинает пропускать почту без проверки. Под обычным пользователем этого не наблюдается. Предложенная ситуация на моей машине работает уже около полугода без единой проблемы. Да, пункт 4 исправляет проблему с выбором пользователя, отличного от root, через /etc/sysconfig/spamd. 27667 1 ldv 2005-07-22 22:36:10 +0400 Мне казалось, что я уже высылал Виктору патч с необходимыми изменениями. Вы уверены, что версия пакета в Сизифе не содержит решения задачи (путем редактирования /etc/sysconfig/spamd)? 27714 2 serpiph 2005-07-25 13:39:38 +0400 Нет, не внесено. Хотелось бы, чтобы spamd по-умолчанию работал бы под пользователем spamd, а не root (то есть в /etc/rc.d/init.d/spamd написать RUNAS=spamd, а не RUNAS=root). Если же в /etc/sysconfig/spamd внести RUNAS=spamd, то демон не может создать/изменить файл /var/run/spamd.pid. Предлагаю для spamd сделать отдельный каталог /var/run/spamd и уже в нём пусть играется. Ещё, для spamd необходимо добавить параметр --username="$RUNAS". Без него демон будет всегда root, и функции start_daemon и stop_daemon не будут его видеть, если RUNAS поставить отличным от root. Желательно в /etc/sysconfig/spamd добавить строки RUNAS=spamd PIDFILE=/var/run/spamd/spamd.pid чтобы не пришлось искать нужные комбинации бог знает где. 33467 3 vvk 2005-11-28 11:10:37 +0300 Опять установил спамассассин и что? Всё в том же плачевном состоянии - bayes и autolearn из коробки не работают :( С этим багом что-нибудь собираются делать или нет? 33469 4 vvk 2005-11-28 12:07:37 +0300 Хотя, надо признать что некоторые подвижки есть (создан юзер spamd и необходимые директории). Итак, чтобы получить нормально работающие autolearn и bayes я сделал: В /etc/sysconfig/spamd прописал RUNAS=spamd PID=/var/run/spamd/spamd.pid /etc/init.d/spamd: к опциям запуска spamd добавил --username="$RUNAS" Дал права группе на доступ к базе: chown :spamd /var/spool/spamassassin/ 38729 5 ildar 2006-06-16 15:50:32 +0400 IMHO надо делать NMU. 38730 6 serpiph 2006-06-16 16:27:59 +0400 С сайта http://www.spamassassin.org/ : 2006-06-06: SpamAssassin 3.1.3 released! This is an important security release to fix CVE 2006-2447; read the advisory to see if you need to upgrade. Visit the downloads page to get the latest version. (The release announcement) При этом лечится проблема, указанная в http://spamassassin.apache.org/advisories/cve-2006-2447.txt Эта проблема позволяет в текущем варианте получить remote root в системе. Нужна новая версия! Где мантейнер? 38731 7 ldv 2006-06-16 16:34:33 +0400 CVE-2006-2447 это ерунда, в таком виде spamassassin никто не использует. Новая версия 3.1.3 уже давно в Сизифе. Что касается нормального запуска spamd не из под root, то с этим в 3.1.x стало хуже, я патчил но результат мне не понравился и я откатился на старую версию. 38732 8 serpiph 2006-06-16 16:47:11 +0400 (In reply to comment #7) > CVE-2006-2447 это ерунда, в таком виде spamassassin никто не использует. > Новая версия 3.1.3 уже давно в Сизифе. > > Что касается нормального запуска spamd не из под root, то с этим в 3.1.x стало > хуже, я патчил но результат мне не понравился и я откатился на старую версию. Насчёт "давно". Она появилась в репозитарии только 13 июня, чего конечно, я не мог увидеть. Непонятно, зачем ему рутовые права, кроме как открыть порт ниже 1024? 64641 9 force 2008-02-26 15:00:40 +0300 По оригинальному предложению ставлю WONTFIX.