MTA i używanie map NISowych

[Tomasz Kłoczko]

Tak próbuje sobie skompletować sendmaila i naszło mnie to że np. wersji RH
jest to na twardo kompilowane z -DNIS. To co mnie walło jak to zobaczyłem
to to w zasadzie jest to zaszłość kiedy NSS jeszcze za bardzo nie działał
i poprzez funkcje libnsl były dociagane odpwiednie mapy aliases z NIS
bezpośrednio.

Pomysł: wywalić wszelkie twarde linkowanie z libnsl i używanie map NIS z
MTA (na pewno tak robi tak robi postfix), wywalić /etc/mail/aliases do
setup czy nawet do glibc.

Uzasadnienie: np. sendmail NIS używa przy używaniu confDONT_INIT_GROUPS co
jest używane w zasadzie na systemach nie majacych initgroups(3), a glibc
to ma i przy rewsolwingu nazw na podstawie mapy NIS hosts .

Tak czy inaczej wywalam -DNIS z opcji sendmaila, a przejrzenia jeszcze
wymagałby napewno postfix i o ile wsparcie do NIS jest używane nie do
non-standard map tylko do czytania regularnych map aliases, passwd, groups
to można to spokojnie wywalić ponieważ całosć ładnei i przeźroczyscie
załatwi NSS bez potrzeby linkowania postfixa z libnsl.

IMHO tak czy inaczej ze względu na bliskie powiązania z NSS aliasów
należałoby wyłuskać ten plik z z MTA.

Przy okazji wpadł mi ciekawy pomysł na wykorzystanai przekazywania aliasów
po NSS ponieważ w aliasach można umieścić wywołanie skryptu to przed
zdalne podłożenie w mapie odpowiedniego wpisu i potem wysłanie listu na
określony adres możnaby zrobyć mały remote control :>
Co najgorsze to że o ile MTA nie blokowałby sam z siebie inkluda przez
wyjscie ze skryptu to w zasadzie tego typu RC jest to wykorzystania
chyba niezaleznie od MTA. Ergo: instalowanie czegokolwiek coby ułatwiało
tego typu trik jak instalacja modułów nis, nis+ do NSS może być w już
drugim punkcie nierozsadne czyli ta separacja nss_* jaką mamy w glibc jest
tym bardziej wskazana. Co ciekawsze dotyczy to także mapowania po
LDAP. Mówiac inaczej jeżeli ktokolwiek decyduje się na mapy *zdalne*
powinien obłożyć przesyłanie tego typu informacji ogniem zaporowym :>

Powyższe prawdopodobnie nie będzie dotyczyć ściągania map po NSS z użyciem
Kerb ponieważ tutaj zdaje się że jest wykonywana identyfikacja z podpórką
kluczy z kerb serwera czyli ogień zaporowy juz bezie niepotrzebny.

Ergo: rózne mail serwery z listami dyskusyjnymi wykorzystujące
wpięcia w aliasy o ile w mapie aliases mają cokolwiek wiecej niż "files" 
potencjalnie mogą być łatwym miescem do ukrycia wejścia od zadka.

Ciekawy jestem czy qmail używa do czytania aliasów NSS czy własnych haków
nastawionych wyłącznie na czytanie lokalnego pliku z aliasami ? (znając
Bernsteinowe dążenie do maksymalnego upraszczania zapewne tylko to).

Tak czy inaczej bez wywalenie wsparcia dla NIS w MTA nie da się
kontrolować tego typu źródła w jednym punkcie co jest raczej kuszeniem
licha i proszeniem się o baty.

Eny koments ?

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*