Россия, Казань, Казанский Национальный Исследовательский Технический Университет |
Администрирование почтового сервера
В этой лекции
- Обслуживание учетных записей пользователей
- Мониторинг почтового сервера
- Защита от хакеров и спамеров
В "Подключение почтового сервера к провайдеру Internet" , "Подключение почтового сервера к провайдеру Internet", были рассмотрены методы подключения почтового сервера под управлением ОС Linux к провайдеру сети Internet. После подключения и настройки электронная почта сможет циркулировать между вашей сетью и Internet. И если вы решили, что на этом обязанности администратора почтовой системы заканчиваются, то вы ошиблись — все только начинается.
Администратор системы электронной почты должен постоянно следить за работой почтового сервера. Одной из важнейших повседневных задач является обслуживание учетных записей пользователей. Еще одна важная задача — отслеживание файлов отчетов о работе различных служб в системе. В зависимости от выбранного вами типа подключения к сети Internet, возможно, придется также отслеживать попытки несанкционированного доступа на ваш почтовый сервер со стороны хакеров и спамеров. Всегда будьте готовы столкнуться со спамерами, наводняющими почтовые ящики бесполезными сообщениями или использующими ваш почтовый сервер для их транзита. Как видите, работа для администратора почтовой системы всегда найдется. В этой лекции описываются некоторые методики и алгоритмы, которые помогут администратору почтовой системы поддерживать сервер в рабочем состоянии.
Обслуживание учетных записей пользователей
Все пользователи, принимающие почту через ваш почтовый сервер, должны иметь зарегистрированные в системе идентификатор пользователя и пароль. В обязанности администратора системы электронной почты входит удаление и добавление новых идентификаторов пользователя. В зависимости от правил, принятых в вашей организации, это может выполняться ежедневно или один раз в год. В любом случае время от времени возникает необходимость в добавлении или удалении учетных записей пользователей. Кроме того, довольно часто встречаются пользователи, которые забывают свои пароли доступа к серверу, поэтому вам придется выполнять определенные процедуры по управлению учетными записями.
Файл учетных записей в ОС Linux
По умолчанию в ОС Linux учетные записи пользователей хранятся в файле /etc/passwd. Этот файл уже упоминался в "Установка и конфигурирование POP3 и IMAP" , "Установка и конфигурирование POP3 и IMAP". В листинге 14.1 представлен пример стандартного файла /etc/passwd.
1 root:unaoBNGut6giH2:0:0:root:/root:/bin/bash 2 bin:*:1:1:bin:/bin: 3 daemon:*:2:2:daemon:/sbin: 4 adm:*:3:4:adm: /var/adm: 5 lp:*:4:7:lp:/var/spool/lpd: 6 sync:*:5:0:sync:/sbin:/bin/sync 7 shutdown:*:6:0: shutdown:/sbin:/sbin/shutdown 8 halt:*:7:0: halt :/sbin:/shin/halt 9 mail:*:8:12:mail:/var/spool/mail: 10 news:*:9:13:news:/usr/lib/news: 11 uucp:*:10:14:uucp:/var/spool/uucppublic: 12 operator:*:11:0:operator:/root:/bin/bash 13 games:*:12:100:games:/usr/games: 14 man:*:13:15:man:/usr/man: 15 postmaster:*:14:12:postmaster:/var/spool/mail:/bin/bash 16 nobody:*:65535:100:nobody:/dev/null: 17 ftp:*:404:1::/home/ftp:/bin/bash 18 rich:cLafgrY5tfHiw:501:101:Rich B.:/home/rich:/bin/bash 19 usenet:*:502:13:News master:/home/usenet:/bin/bash 20 bbs:*:503:200:BBS User:/home/bbs:/bin/bash 21 barbara:*:504:100:Barbara B.:/home/barbara:/bin/bash 22 katie:*:505:100:Katie B.:/home/katie:/bin/bash 23 jessica:Ru7vx4rgypupg:506:100:Jessica B.:/home/jessica:/bin/bash 24 haley:WfNervHPbUxUk:507:100:Haley S.:/home/haley:/bin/bash 25 riley:VHA1qqu/pqjMU:508:100:Riley M.:/home/riley:/bin/bash 26 chris:5MLvL/waxN276:509:100:Chris W.:/home/chris:/bin/bash 27 matthew:nZF35ripKCbXQ:510:100:Matthew W.:/home/matthew:/bin/bash 28 alex:9QJ.MQWbSDBG.:511:100:Alex P.:/home/alex:/bin/bashЛистинг 14.1. Пример файла /etc/passwd
В листинге 14.1 представлен общий формат файла /etc/passwd. В каждой строке файла содержится информация об учетной записи пользователя. Вся информация с помощью двоеточий разбивается на отдельные поля. Первое поле в учетной записи содержит имя пользователя, под которым он регистрируется в системе. Во втором поле содержится пароль пользователя в зашифрованном виде. Вы, наверное, уже обратили внимание, что некоторые учетные записи в поле пароля имеют символ "звездочка" ( * ). Это означает, что для учетной записи зашифрованный пароль не используется и достаточно лишь символа ( * ). В третьем поле указывается номер идентификатора пользователя, по которому в ОС Linux осуществляется управление доступом к файлам. В четвертом поле содержится номер идентификатора группы, к которой относится данный пользователь. В следующем разделе мы более подробно рассмотрим функционирование групп пользователей в ОС Linux.
Остальные поля используются для определения различных параметров пользователя. В пятом поле содержится текстовое описание учетной записи; обычно здесь указывается полное имя пользователя, которому принадлежит учетная запись, это помогает администратору почтовой системы документировать подобную информацию. В шестом поле определяется местоположение рабочего каталога пользователя. Если пользователи вашей системы работают с почтовыми ящиками по протоколу IMAP (см. "Протокол IMAP" , "Протокол IMAP"), то каждый пользователь должен иметь отдельный рабочий каталог. Это необходимо для того, чтобы программное обеспечение для работы с IMAP в ОС Linux могло создавать в рабочем каталоге пользователя необходимые папки. Каждому пользователю должны быть также назначены соответствующие права доступа к своему рабочему каталогу — право на чтение из каталога и на запись в него.
В последнем поле определяется программа оболочки для работы в ОС Linux, которая будет запускаться при входе пользователя в систему. При обращении к почтовому серверу на базе ОС Linux желательно задавать пользователям программу оболочки bash (находится в /bin/bash ), которая является стандартной для ОС Linux. Некоторые опытные администраторы почтовых систем предпочитают создавать сложные оболочки, которые не позволяют пользователям получать несанкционированный доступ в систему. Однако подобные методики не рассматриваются в этой книге.
Теневые пароли
Вероятно, вы заметили один из недостатков файла, в котором хранятся учетные записи пользователей в ОС Linux, — он доступен для просмотра любому пользователю системы. Благодаря этому программы регистрации пользователей в системе могут обращаться к файлу /etc/passwd и сравнивать введенные пароли с реальными паролями для входа в систему. Некоторые пользователи, охваченные жаждой экспериментов, могут скопировать себе файл паролей и попытаться с помощью одной из программ для взлома паролей, которых сегодня в Internet великое множество, получить пароли других пользователей системы. Это всегда создает потенциальную угрозу (в особенности для руководящих работников, которые, как правило, не утруждают себя запоминанием сложных паролей).
Для решения этой проблемы в большинстве дистрибутивов Linux предлагается алгоритм аутентификации с применением файла теневых паролей. Файл теневых паролей представляет собой отдельный файл, в котором содержатся пароли пользователей и другая информация, относящаяся к работе с ними. Таким образом, пароли не хранятся в файле /etc/passwd. Простым пользователям системы на базе ОС Linux файл теневых паролей не виден, они не могут получить его копию и попытаться взломать его. В листинге 14.2 представлен пример файла теневых паролей.
1 root:$1$wkRtbOwr46TSWmezOiXx.ZGAtG/zGKU1:10863:0:99999:7:-1:-1 :134537880 2 bin:*:10863:0:99999:7::: 3 daemon:*:10863:0:99999:7::: 4 adm:*:10863:0:99999:7::: 5 lp:*:10863:0:99999:7::: 6 sync:*:10863:0:99999:7::: 7 shutdown:*:10863:0:99999:7::: 8 halt:*:18863:0:99999:7::: 9 mail:*:10863:0:99999:7::: 10 news:*:10863:0:99999:7::: 11 uucp:*:10863:0:99999:7::: 12 operator:*:10863:0:99999:7::: 13 games:*:10863:0:99999:7::: 14 gopher:*:10863:0:99999:7::: 15 ftp:*:10863:0:99999:7::: 16 nobody:*:10863:0:99999:7::: 17 postgres:!!:10863:0:99999:7::: 18 lists:!!:10863:0:99999:7::: 19 xfs:!!:10863:0:99999:7::: 20 rich:LMQOvbvbnZpZrls:10863:0:99999:7::: 21 barbara:$1$ORlQdo1l$GK/H8tjwPGCBUUHMEjXWe1:10863:0:99999:7::: 22 katie:$1$XEd8PKaP$AuwsgfeN3UBcKjBOGeLId1:10882:0:99999:7::: 23 jessica:$1$ashasfha4hasfhasfhw$asfgas44gs: 10885:0:99999:7:: :Листинг 14.2. Пример файла теневых паролей
В листинге 14.2 представлен общий формат файла теневых паролей. В большинстве дистрибутивов ОС Linux по умолчанию это файл /etc/shadow. Как и в обычном файле /etc/passwd, в каждой его строке содержится информация об одной учетной записи пользователя. Вся информация разделяется на поля с помощью двоеточий. В первом поле указывается имя пользователя учетной записи. Это поле должно в точности совпадать с таким же полем в файле /etc/passwd. Во втором поле содержится зашифрованный пароль. Возможно, вы уже заметили разницу между зашифрованными паролями из листингов 14.1 и 14.2. Дело в том, что ОС Linux, из которой взят файл, представленный в листинге 14.2, сконфигурирована для шифрования паролей с помощью алгоритма MD5. Алгоритм MD5 предлагает более сложное для взлома шифрование паролей, по сравнению со стандартным методом шифрования, принятым в UNIX, который по умолчанию используется и в ОС Linux.