Jak zabezpieczyć postfiks na Ubuntu Server


14

Konfiguruję nowy serwer VPS z LEMP. Jedyny brakujący element to teraz serwer pocztowy. Czy muszę zrobić coś specjalnego, aby było bezpieczne? czy jest już zabezpieczony po zakończeniu instalacji?

Myślę, że właściwym terminem jest utwardzanie postfiksa, czy to ma sens?

Odpowiedzi:


24

Istnieje wiele przewodników online dotyczących konfiguracji i kroków dotyczących „hartowania” postfiksa.

Ta jedna dzięki uprzejmości http://security-24-7.com/hardening-guide-for-postfix-2-x/

Przewodnik po hartowaniu dla Postfix 2.x

Upewnij się, że Postfix działa z kontem użytkownika innego niż root:

ps aux | grep postfix | grep -v '^root'

Zmień uprawnienia i prawa własności w poniższych miejscach docelowych:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Edytuj za pomocą nano lub vi plik /etc/postfix/main.cfi dodaj, wprowadź następujące zmiany: Zmodyfikuj wartość myhostname, aby odpowiadała zewnętrznej w pełni kwalifikowanej nazwie domeny (FQDN) serwera Postfix, na przykład:

myhostname = myserver.example.com

Skonfiguruj adresy interfejsu sieciowego, na których usługa Postfix powinna nasłuchiwać, na przykład:

inet_interfaces = 192.168.1.1

Skonfiguruj Zaufane sieci, na przykład:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Skonfiguruj serwer SMTP, aby maskować wychodzące wiadomości e-mail jako pochodzące z domeny DNS, na przykład:

myorigin = example.com

Skonfiguruj miejsce docelowe domeny SMTP, na przykład:

mydomain = example.com

Skonfiguruj, do których domen SMTP, do których mają być przekazywane wiadomości, na przykład:

relay_domains = example.com

Skonfiguruj baner powitalny SMTP:

smtpd_banner = $myhostname

Ogranicz ataki typu „odmowa usługi”:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Uruchom ponownie demona Postfix:

service postfix restart

1
bardzo imponujące, tks
Timmy

6
Uważam również, że należy uwzględnić wyłączenie polecenia VRFY, aby nazwy użytkowników nie mogły być łatwo wyliczone. postconf -ev disable_vrfy_command = tak
Mark S.

2
Zauważ, że proces / usr / lib / postfix / sbin / master może działać jako root i to jest w porządku - patrz security.stackexchange.com/questions/71922
Jan Żankowski
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.