Ubuntu Sunucusunda postfix nasıl güvenli hale getirilir


14

LEMP ile yeni bir VPS sunucusu kuruyorum. Şimdi eksik olan tek parça posta sunucusudur. Güvenli hale getirmek için özel bir şey yapmam gerekir mi? veya kurulum tamamlandığında zaten güvenli mi?

Bence doğru terim postfix'i sertleştiriyor, mantıklı mı?

Yanıtlar:


24

Yapılandırma ve 'sertleştirme' postfix için adımlar ile ilgili birçok çevrimiçi kılavuz var.

Bu http://security-24-7.com/hardening-guide-for-postfix-2-x/ izniyle

Postfix 2.x için sertleştirme kılavuzu

Postfix'in kök olmayan bir hesapla çalıştığından emin olun:

ps aux | grep postfix | grep -v '^root'

Aşağıdaki hedeflerde izinleri ve sahipliği değiştirin:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Dosyayı nano veya vi kullanarak düzenleyin /etc/postfix/main.cfve aşağıdaki değişiklikleri yapın: myhostname değerini Postfix sunucusunun harici tam etki alanı adına (FQDN) karşılık gelecek şekilde değiştirin:

myhostname = myserver.example.com

Postfix hizmetinin dinlemesi gereken ağ arabirimi adreslerini yapılandırın, örneğin:

inet_interfaces = 192.168.1.1

Güvenilir Ağları yapılandırın, örneğin:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

SMTP sunucusunu, giden e-postaları DNS alan adınızdan gelecek şekilde maskeleyecek şekilde yapılandırın, örneğin:

myorigin = example.com

SMTP etki alanı hedefini yapılandırın, örneğin:

mydomain = example.com

Hangi SMTP alan adlarının iletileri aktaracağını yapılandırın, örneğin:

relay_domains = example.com

SMTP Karşılama Başlığını Yapılandırma:

smtpd_banner = $myhostname

Hizmet Reddi Saldırılarını Sınırla:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Postfix arka plan programını yeniden başlatın:

service postfix restart

1
çok etkileyici, tks
Timmy

6
Ayrıca kullanıcı adlarının kolayca numaralandırılamaması için VRFY komutunu devre dışı bırakmayı da eklemeniz gerektiğini düşünüyorum. postconf -evctiv_vrfy_command = evet
Mark S.

2
Not / usr / lib / postfix / sbin / ustası süreci olabilir root olarak çalıştırmak ve bu normal - bkz security.stackexchange.com/questions/71922
Jan Żankowski
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.