SMTP安全手册—Sendmail服务器安全（5）

6、限制处理邮件队列的权限为"root"

通常，任何人都可以使用"-q"开关来处理邮件队列，为限制只允许root处理邮件队列，需要在"/etc/sendmail.cf"文件中指定"restrictqrun"。

编辑"sendmail.cf"文件(vi /etc/sendmail.cf)并更改下面一行：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq

改为：

O PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq,restrictqrun

任何一个没有特权的用户如果试图处理邮件队列的内容会收到下面的信息：

[user@deep]$ /usr/sbin/sendmail -q

You do not have permission to process the queue

7、在重要的sendmail文件上设置不可更改位

可以通过使用"chattr"命令而使重要的Sendmail文件不会被擅自更改，可以提高系统的安全性。具有"+i"属性的文件不能被修改：它不能被删除和改名，不能创建到这个文件的链接，不能向这个文件写入数据。只有超级用户才能设置和清除这个属性。

为"sendmail.cf"文件设置不可更改位：

[root@deep]# chattr +i /etc/sendmail.cf

为"sendmail.cw"文件设置不可更改位：

[root@deep]# chattr +i /etc/sendmail.cw

为"sendmail.mc"文件设置不可更改位：

[root@deep]# chattr +i /etc/sendmail.mc

为"null.mc"文件设置不可更改位：

[root@deep]# chattr +i /etc/null.mc

为"aliases"文件设置不可更改位：

[root@deep]# chattr +i /etc/aliases

为"access"文件设置不可更改位：

[root@deep]# chattr +i /etc/mail/access