The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Первый IMAP сервер написанный с оглядкой на безопа..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Первый IMAP сервер написанный с оглядкой на безопа..."
Сообщение от opennews on 27-Дек-04, 08:53 
Как известно, низкая безопасность главный недостаток современных открытых IMAP серверов (UW-IMAP (http://www.washington.edu/imap/), Courier (http://www.inter7.com/courierimap/), Cyrus (http://asg.web.cmu.edu/cyrus/)). Но похоже ситуация изменилась, после начала разработки IMAP сервера Dovecot (http://dovecot.org/), главной задачей которого является создание по настоящему безопасной (http://iki.fi/tss/security/securesoftware.html) реализации IMAP сервера.  В настоящее время продукт уже достиг стадии позволяющей использовать его в "production" системах.


Из возможностей можно отметить полную поддержку IMAP4rev1 (плюс реализация команд SORT и THREAD, которые часто используется в web-mail клиентах), работа с mailbox и maildir, низкие затраты ОЗУ и высокая производительность, понятный файл конфигурации, несколько уровней настроек работы в chroot, реализация поддержки TLS/SSL через библиотеку GNUTLS (возможна сборка с OpenSSL, но на безопасности это сказывается не лучшим образом).


URL: http://dovecot.org/
Новость: http://www.opennet.me/opennews/art.shtml?num=4844

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от grobik on 27-Дек-04, 08:53 
К нему бы еще какой-нибудь web-интерфейс не шибко навороченный...
Cообщить модератору | Наверх | ^

2. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от n9 on 27-Дек-04, 10:03 
Squirrelmail? (настраивается за 15 минут и не требует sql баз)
Cообщить модератору | Наверх | ^

3. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от sauron email on 27-Дек-04, 10:20 
хм... в целом приятственно, есть возможность хранения базы пользователей в LDAP и в PostgreSQL, что есть очень неплохо.
Cообщить модератору | Наверх | ^

4. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 10:35 
THREAD=REFERENCES only, shared folders без acl'ей, жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен.
Cообщить модератору | Наверх | ^

5. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Maxim Chirkov email(ok) on 27-Дек-04, 10:46 
> жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен.

Авторы наборот хвалятся, что из-за того что у них все что можно проиндексировано, скорость работы на порядок выше чем у UW-IMAP и Courier-imapd.


Cообщить модератору | Наверх | ^

9. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Phil Kulin email on 27-Дек-04, 10:56 
Максим, честно скажу - стоит Cyrus на каком-то там целерончике. Вспоминаю о нём в двух случаях - когда место на диске заканчивается и когда он гад индекс кому-ниюудь бъёт. Нет проблемы нагрузки-то вроде, надуманна она. Чем они там похваляются - неясно...
Cообщить модератору | Наверх | ^

15. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Maxim Chirkov email(ok) on 27-Дек-04, 11:28 
>Максим, честно скажу - стоит Cyrus на каком-то там целерончике. Вспоминаю о
>нём в двух случаях - когда место на диске заканчивается и
>когда он гад индекс кому-ниюудь бъёт. Нет проблемы нагрузки-то вроде, надуманна
>она. Чем они там похваляются - неясно...

Все разговоры о нагрузке сводятся к скорости парсинга mailbox'а с миллионом писем :-)

Cообщить модератору | Наверх | ^

10. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:00 
>> жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен.
>
>Авторы наборот хвалятся, что из-за того что у них все что можно
>проиндексировано, скорость работы на порядок выше чем у UW-IMAP и Courier-imapd.
На маленьких папках (тестировали только maildir) да, он быстрее. На больших все очень печально. Попробуйте сами...


Cообщить модератору | Наверх | ^

17. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Maxim Chirkov email(ok) on 27-Дек-04, 11:33 
>На маленьких папках (тестировали только maildir) да, он быстрее. На больших все
>очень печально. Попробуйте сами...

Для maildir с большим числом писем в одной папке многое упирается в возможности файловой системы по хэшированию содержимого директории. Во FreeBSD спасает UFS_DIRHASH, в Linux - ReiserFS (не помню чтобы ex[23]fs умела такое).

Cообщить модератору | Наверх | ^

18. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:39 
>Для maildir с большим числом писем в одной папке многое упирается в
>возможности файловой системы по хэшированию содержимого директории. Во FreeBSD спасает UFS_DIRHASH,
Это было включено.

>в Linux - ReiserFS (не помню чтобы ex[23]fs умела такое).
Под линуксом не пробовали.
Проблема была не только в IO - dovecot жрал больше cpu чем боевой курьер.  


Cообщить модератору | Наверх | ^

6. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от sauron email on 27-Дек-04, 10:50 
используйте dbmail
Cообщить модератору | Наверх | ^

13. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:14 
>используйте dbmail
Спасибо, не хочу.

Cообщить модератору | Наверх | ^

16. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Danil email(??) on 27-Дек-04, 11:32 
Кстати, что народ думает про dbmail?
Поконкретнее ;-)
Cообщить модератору | Наверх | ^

19. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:46 
>Кстати, что народ думает про dbmail?
Я не вижу плюсов от хранения почты в db.

>Поконкретнее ;-)
Мне не понятна сама идея.


Cообщить модератору | Наверх | ^

25. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от DarkShadow email on 27-Дек-04, 12:26 
У меня с сентября стоит dbmail-mysql-1.2.9
клиентов > 500 - полет нормальный
сейчас пытаюсь написать на перле webmail к нему
Cообщить модератору | Наверх | ^

27. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Danil email(??) on 27-Дек-04, 12:48 
>У меня с сентября стоит dbmail-mysql-1.2.9
>клиентов > 500 - полет нормальный
>сейчас пытаюсь написать на перле webmail к нему

У меня примерно схожая ситуация =)
Раздражает медлительность мэйнтэйнера порта под FreeBSD...
До сих пор нет там 2.0.1, пришлось опять "почти руками" ставить...

Я тоже начал писать на PHP небольшую "администрилку" для себя :-)
Пока только информативную часть сделал, но "проектировал" и управление пользователями и алиасами; надо будет доделать до конца.

В версии 2 раздражают некоторые "лажи"... Например, она у меня просто так не запустилась!.. Сказала, что у меня СУБД плохая... Я, конечно же, нашёл в коде, почему она так ругалась. Мне интересно, почему разработчики проверяют каждый раз таким запросом "нормальность" СУБД:
SELECT 1=1 FROM dbmail_physmessage LIMIT 1 OFFSET 0
в процедуре db_check_version в db.c...
Пришлось немного изменить код, чтобы она хоть как-то запускалась и работала. У меня MySQL ветки 4.0.22 на тестовой конфигурации.
(хотя! я даже 4.1.7 поставил ради интереса для этого - то же самое было..)

Ещё мне не нравится то, как "оно" ведёт логи.. Со слишком большим приоритетом; так, что они сыпались (до моего вмешательства в код =))) ) в messages.

А нравится "масштабируемостью", да и в базе довольно удобно всю информацию хранить о пользователях и о почте самой.
Т.е. не надо синхронизировать.

Сейчас хочу на продакшн поставить вместе со SpamAssassin, и чтобы спам выпался в отдельную папочку (для этого тестирую отдельно уже некоторое время ;) ).
В версии 1.2.9 dbmail-smtp не позволяет указать ящик IMAP, а в версии 2.0.1 - позволяет, и это очень удобно для создания "спамовой" папки.
Но, правда, опять что-то криво написано у них, и если я добавляю в параметр командной строки "-m Spam", то создаётся, если его нет, ящик " Spam" (именно с пробелом), и всё идёт туда...
Пришлось не указывать пробел :) Но они, имхо, могли бы сделать на это проверку...

Вот эта кривость небольшая заставляет меня иногда задумываться об использовании чего-нибудь другого... типа Cyrus или Courier, ну или сабж попробовать...

Cообщить модератору | Наверх | ^

28. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от butcher email(ok) on 27-Дек-04, 13:08 
>Раздражает медлительность мэйнтэйнера порта под FreeBSD...
>До сих пор нет там 2.0.1, пришлось опять "почти руками" ставить...

А вы ему письмо напишите :)

Cообщить модератору | Наверх | ^

7. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от pazke email on 27-Дек-04, 10:53 
Это впечатления от версии 0.99.x ?

IMHO ACL - не самая востребованное расширение IMAP. К тому же оно есть в планах, правда далеко не на первом месте.

Кстати на больших папках тормозит постоянно или только при первом обращении ?

Cообщить модератору | Наверх | ^

11. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:05 
>Это впечатления от версии 0.99.x ?
Да.

>IMHO ACL - не самая востребованное расширение IMAP. К тому же оно
>есть в планах, правда далеко не на первом месте.
Вам нужны shared folders без acl? Мне нет.


>Кстати на больших папках тормозит постоянно или только при первом обращении ?
Постоянно. CPU states не сравнимо с курьером.


Cообщить модератору | Наверх | ^

20. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от pazke email on 27-Дек-04, 11:51 
>>Это впечатления от версии 0.99.x ?
>Да.
Тогда спорить не стану.

>>IMHO ACL - не самая востребованное расширение IMAP. К тому же оно
>>есть в планах, правда далеко не на первом месте.
>Вам нужны shared folders без acl? Мне нет.
Так мне они и вовсе не нужны ;)

>>Кстати на больших папках тормозит постоянно или только при первом обращении ?
>Постоянно. CPU states не сравнимо с курьером.
На мой взгляд все логично, индексы должны сокращают количество дисковых операций, но нагружают процессор. Кому-то это даст выигрыш, кому-то нет.

Кстати версии 1.0-testX курьера уверенно обгоняют. Но им в продакшн точно рано.

Cообщить модератору | Наверх | ^

22. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 12:04 
>>Вам нужны shared folders без acl? Мне нет.
>Так мне они и вовсе не нужны ;)
Мне тоже :)
Они нужны "корпоративным" пользователям.

>>>Кстати на больших папках тормозит постоянно или только при первом обращении ?
>>Постоянно. CPU states не сравнимо с курьером.
>На мой взгляд все логично, индексы должны сокращают количество дисковых операций, но
>нагружают процессор. Кому-то это даст выигрыш, кому-то нет.
У меня он поставил в известную позу систему на 2-х оптеронах, io был ниже чем у курьера, но не значительно.

>Кстати версии 1.0-testX курьера уверенно обгоняют. Но им в продакшн точно рано.
Подождем релиза...


Cообщить модератору | Наверх | ^

8. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от vid email(??) on 27-Дек-04, 10:56 
А тормоза на mailbox? и на Maildir-тоже?
Cообщить модератору | Наверх | ^

12. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от TaranTuL email on 27-Дек-04, 11:10 
У курьера по моему тормоза тоже в крови. По крайней мере у меня притормаживает из-за низкого иопс дисковой подсистемы, а система не слабая. И рэйд стоит идисков у него.. 8 в рэйде и 1 для загрузки, но все равно курьер притормаживает.
Cообщить модератору | Наверх | ^

14. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 11:18 
>У курьера по моему тормоза тоже в крови. По крайней мере у
>меня притормаживает из-за низкого иопс дисковой подсистемы, а система не слабая.
>И рэйд стоит идисков у него.. 8 в рэйде и 1
У меня похожая конфигурация.

>для загрузки, но все равно курьер притормаживает.
Потому мы и пробовали dovecot в качестве замены - он не притормаживает, а полноценно тормозит.


Cообщить модератору | Наверх | ^

21. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от TaranTuL email on 27-Дек-04, 11:56 
Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий в способе хранения данных.
Cообщить модератору | Наверх | ^

23. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 12:09 
>Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий
>в способе хранения данных.
У вас есть надежда, что mysql/postgres будут производительнее/легче чем заточенные под разбор maildir/mbox алгоритмы? У меня нет.
Но если попробуете, то расскажите пожалуйста о результатах.


Cообщить модератору | Наверх | ^

40. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от TaranTuL email on 27-Дек-04, 16:42 
>>Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий
>>в способе хранения данных.
>У вас есть надежда, что mysql/postgres будут производительнее/легче чем заточенные под разбор
>maildir/mbox алгоритмы? У меня нет.
>Но если попробуете, то расскажите пожалуйста о результатах.


Как обещают авторы dbmail ускорение происходит за счет того, что парзинг файловой системы происходит дольше, чем выборка из таблицы по индексы. Плюс к этой выборка дает возможность выбрать сразу только заголовки писем, не считавыя остальные части писем. Но надо все проверять, через месяц где-нибудь доберусь до этого дела, раньше врятли.

Cообщить модератору | Наверх | ^

41. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Danil email(??) on 27-Дек-04, 17:15 
В общем-то заголовки и тела писем хранятся по-отдельности, но в одной таблице messageblks =)
На сайте www.dbmail.org есть ERD всей БД.
Cообщить модератору | Наверх | ^

43. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 18:09 
Хотите индексы - пожалуйста. Зачем для этого sql?
Cообщить модератору | Наверх | ^

24. "Первый ???"
Сообщение от Hostmaster on 27-Дек-04, 12:23 
про bincimap забыли ...

похоже никто из писавших про dbmail им не пользовался, во первых imapd там написан совсем не в стиле security in mind, во-вторых банально не умеет кэшировать заголовки (каждый раз SELECT-ит) и с сортировкой тоже проблемы. Но в общем работает не плохо. Вот бэкап это проблемы, но это уже недостатки БД.

Cообщить модератору | Наверх | ^

26. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Spark email on 27-Дек-04, 12:30 
а все-таки. Зачем искать лишний гиммор, когда есть cyrus?
Cообщить модератору | Наверх | ^

29. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от uldus (ok) on 27-Дек-04, 13:18 
>а все-таки. Зачем искать лишний гиммор, когда есть cyrus?

А что Cyrus уже переписали пофиксив все потенциально опасные с точки зрения безопасности куски кода ? Безопасностью в Cyrus никогда не пахло.

http://www.opennet.me/opennews/art.shtml?num=4699

Cообщить модератору | Наверх | ^

38. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Phil Kulin email on 27-Дек-04, 14:54 
Да ладно - вон, PHP и не язык, да ещё и дырявый - это не мешает ему считаться самым популярным.
Один раз в год облажались в cyrus и давайте теперь гнать на него :)
Cообщить модератору | Наверх | ^

30. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Аноним email on 27-Дек-04, 13:21 
Из-за того, что cyrus-imapd - проходной двор, да и аутентификация там через 1000 и 1 прокладку, а не напрямую.
Cообщить модератору | Наверх | ^

31. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Spark email on 27-Дек-04, 13:36 
>А что Cyrus уже переписали пофиксив все потенциально опасные с точки зрения
>безопасности куски кода ? Безопасностью в Cyrus никогда не пахло.

qmail тоже был написан с "оглядкой" на безопасность. И все таки sendmail от того совсем не помер, равно как и exim, postfix.
черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован?

>Из-за того, что cyrus-imapd - проходной двор, да и аутентификация там через
>1000 и 1 прокладку, а не напрямую.

Чем тебя PAM то не устраивает? SASL? и что такое "авторизация напрямую"????

Совсем не имею ничего против dovecot. Но уж больно у cyrus много плюсов чтобы оглядываться на альтернативы.

Cообщить модератору | Наверх | ^

32. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Sultan on 27-Дек-04, 14:14 
Аутентификация, а не авторизация.
Авторизация - права на пользование услугой, аутентификация - идентификация пользователя; пора запомнить уже, по-моему.
Не нравится pam+authdaemon из-за того, что дыры умножаюится, вероятность неработоспособности - тоже, ну и оверхед. В freebsd5.3 /usr/ports/security/pam-pgsql broken. Короче - мне такой хоккей не интересен.
Cообщить модератору | Наверх | ^

33. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Spark email on 27-Дек-04, 14:23 
>Аутентификация, а не авторизация.
>Авторизация - права на пользование услугой, аутентификация - идентификация пользователя; пора запомнить
>уже, по-моему.
сорри, невнимательн опрочитал пост.

>Не нравится pam+authdaemon из-за того, что дыры умножаюится, вероятность неработоспособности - тоже,
>ну и оверхед. В freebsd5.3 /usr/ports/security/pam-pgsql broken. Короче - мне такой
>хоккей не интересен.

Различные значит задачи стоят. Хотя маниакальность надо чем-то оправдывать.. :)

Cообщить модератору | Наверх | ^

36. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Sultan on 27-Дек-04, 14:39 
Маниакальность - безоглядное следование "Заветом Мао" (aka unix way :)? Дык оно Бритвой Окама должно отекаться :)))
Cообщить модератору | Наверх | ^

42. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Андрей (??) on 27-Дек-04, 17:19 
Ну да, в каждой программе будем повторять функциональность всей ОС, чтобы "все напрямую". А от этого надежность не выростет, абсолютно. Плюс рост объема кода, "расползание", в попытке охватить необьятное, совсем не способствует его ясности (== отсуствию ошибок). А насчет надеждности - так она повышается. Тебе понравиться, если из-за ошибки реализации аутенфикации через любимый pgsql у тебя будет слетать твой imap-сервер? А так проблема будет касаться только authdaemon. А если делать реализацию через отдельный демон, ты уверен что у них получиться лучше, чем это реализовано в SASL? Я - нет. В любом софте существуют ошибки. Если кто-то говорит, что их нет - это всего лишь означает, что их еще не нашли. Я более чем уверен, что растопыривание пальцев авторами Dovecot связано только с тем, что никто еще не проводил серьезный аудит их кода.
Вобщем, 2 ошибки в cyrus - это совершенно не повод лихорадочно искать ему замену.
Cообщить модератору | Наверх | ^

45. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Sultan email on 27-Дек-04, 18:28 
[quote]
Ну да, в каждой программе будем повторять функциональность всей ОС, чтобы "все напрямую". А от этого надежность не выростет, абсолютно. Плюс рост объема кода, "расползание", в попытке охватить необьятное, совсем не способствует его ясности (== отсуствию ошибок).
[/quote]
Не надо всё громоздить на один сервер.
[quote]
А насчет надеждности - так она повышается. Тебе понравиться, если из-за ошибки реализации аутенфикации через любимый pgsql у тебя будет слетать твой imap-сервер?
[/quote]
Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql).
[quote]
А если делать реализацию через отдельный демон, ты уверен что у них получиться лучше, чем это реализовано в SASL
[/quote]
Я вижу, что exim работает куда прямее, чем весь этот набор прокладок.
[quote]
В любом софте существуют ошибки. Если кто-то говорит, что их нет - это всего лишь означает, что их еще не нашли. Я более чем уверен, что растопыривание пальцев авторами Dovecot связано только с тем, что никто еще не проводил серьезный аудит их кода.
[/quote]
Не надо плодить ситуаций, потенциально порождающие слабые места.
Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев.
[quote]
Вобщем, 2 ошибки в cyrus - это совершенно не повод лихорадочно искать ему замену.
[/quote]
А я его и не ставил - я посмотрел на cyrus-imapd - не понравился и не стал связываться. Кстати, я юзаю курьеровский imap, но за dovecot слежу. Так же могу сказать, что большая функциональность вовсе не означает, что там боьшой объем кода, справедливо и наоборот.
Cообщить модератору | Наверх | ^

48. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Андрей (??) on 27-Дек-04, 18:51 
>Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql).
"Только"? У тебя что-то не в ту сторону логика вывернута. По моему, pam-pgsql значительно менее важная составляющая чем imap сервер. И его легко по быстрому сменить. Смена imap-сервера процесс значительно более трудоемкий.

>Я вижу, что exim работает куда прямее, чем весь этот набор прокладок.
Ты что с чем сравниваешь? Или exim не использует набор прокладок PAM, SASL? Использует. Да, его можно скомпилировать без поддержки PAM и SASL.
Я компилириую с SASL.

>Не надо плодить ситуаций, потенциально порождающие слабые места.
>Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев.
Для этого нужно оценить коэфициенты надежности элементов. Вряд ли ты это делал. Это раз. Два, код , вкомпиленый в бинарник, ты элементом не считаешь?

Cообщить модератору | Наверх | ^

49. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Аноним email on 27-Дек-04, 20:29 
>>Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql).
>"Только"? У тебя что-то не в ту сторону логика вывернута. По моему,
>pam-pgsql значительно менее важная составляющая чем imap сервер.
Логика у меня техническая.
>И его легко по быстрому сменить. Смена imap-сервера процесс значительно более трудоемкий.
Пока есть из чего выбрать.

>>Я вижу, что exim работает куда прямее, чем весь этот набор прокладок.
>Ты что с чем сравниваешь? Или exim не использует набор прокладок PAM,
>SASL? Использует. Да, его можно скомпилировать без поддержки PAM и SASL.
>
>Я компилириую с SASL.
Ну и флаг...
>>Не надо плодить ситуаций, потенциально порождающие слабые места.
>>Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев.
>Для этого нужно оценить коэфициенты надежности элементов. Вряд ли ты это делал.
Априори - распределение равномерное, но pam-pgsql уже не работает, так что апостериорно - вероятность отказа сложной системы (pam + демон аутентификации + sasl) выше.
А сломается api pgsql помрут всё, и то что pam-pgsql будет жив сам по себе радовать будет мало.
>Это раз. Два, код , вкомпиленый в бинарник, ты элементом не
>считаешь?
Нет, т.к. всё что есть из встроенных средств всё равно в совокупности меньше набора прокладок.

Без фанатизму надо подходить к вопросам. Прокладки, конечно, нужны, но в не везде.

Cообщить модератору | Наверх | ^

51. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Maxim Chirkov email(ok) on 27-Дек-04, 22:03 
>В любом софте существуют ошибки. Если кто-то говорит, что их нет -
>это всего лишь означает, что их еще не нашли. Я более
>чем уверен, что растопыривание пальцев авторами Dovecot связано только с

Есть элементарные правила написания безопасного кода, соблюдая которые можно избежать 90% всех потенциальных уязвимостей, даже особо не вычищая код. Это как мыть руки перед едой, микробы остаются, но можно минимизировать их попадание в организм и усилить иммунитет.

Таким образом, программы либо пишутся с оглядкой на безопасность (postfix, qmail, vsftpd, popa3d), либо в стиле, да простят меня почитатели Эрика Реймонда, "собор и базар", т.е. с мира по нитке (патчу) и пишу как могу (примеры такого подхода: fetchmail, proftpd, uw-imapd, wu-ftpd, qpopper). Конечно, я утрирую, ситуация не столь биполярна.

Cyrus больше склоняется ко второму подходу, я как-то заглядывал в его код (у меня вообще правило - прежде чем запустить новый сетевой сервис обязательно бегло посмотреть в код), уверяю вас - это далеко не последние найденные ошибки безопасности.

Cообщить модератору | Наверх | ^

52. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Андрей (??) on 28-Дек-04, 00:16 
>Cyrus больше склоняется ко второму подходу, я как-то заглядывал в его код
>(у меня вообще правило - прежде чем запустить новый сетевой сервис
>обязательно бегло посмотреть в код), уверяю вас - это далеко не
>последние найденные ошибки безопасности.
Ладно, останемся при своих мнениях. Я утверждаю, что ошибки в любом развивающемся проекте с числом разработчиков больше одного неизбежны.
У всех приведенных тобой примеров программ, демонстрирующих right way, один разработчик.

Cообщить модератору | Наверх | ^

53. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Maxim Chirkov email(ok) on 28-Дек-04, 10:08 
>Ладно, останемся при своих мнениях. Я утверждаю, что ошибки в любом развивающемся
>проекте с числом разработчиков больше одного неизбежны.
>У всех приведенных тобой примеров программ, демонстрирующих right way, один разработчик.

Не совсем, самый яркий пример - postfix, не удивлюсь если кода Venema в последних версиях меньше чем контрибьюторов. Но в postfix есть четкая архтектура, жесткий аудит всех патчей и определенный набор требований к написанию кода. DJB не хватило сил создать инфраструктуру, а  Venema смог.

В vsftpd тоже последнее время вливается огромное число сторонних патчей, и это не мешает ему оставаться безопасным.

Cообщить модератору | Наверх | ^

54. " DJB сил инфраструктуру"
Сообщение от Банзай email(??) on 28-Дек-04, 14:03 
А зачем? Mail.Ru вас не убеждает?

Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в том, что на Qmail можно (нужно) делать почту?

Cообщить модератору | Наверх | ^

55. " DJB сил инфраструктуру"
Сообщение от Maxim Chirkov email(ok) on 28-Дек-04, 14:56 
>А зачем? Mail.Ru вас не убеждает?

А не exim ли у них сейчас ?
".... by mx6.mail.ru with esmtp (Exim SMTP.6)"  :-)

>Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в
>том, что на Qmail можно (нужно) делать почту?

Нет единого продукта, а есть qmail + набор патчей. Можно быть уверенным только в безопасности qmail, который очень редко используют без дополнительных патчей. DJB не смог огранизовать процесс аудита всех дополнений и создать единый продукт.

Что касается mail.ru или hotmail.com, то здесь выбор был в большей степени продиктован историческими причинами, на тот момент особого выбора не было.


Cообщить модератору | Наверх | ^

56. " DJB сил инфраструктуру"
Сообщение от unk (ok) on 28-Дек-04, 15:53 
>Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в
>том, что на Qmail можно (нужно) делать почту?
Вы не правильно формулируете вопрос. Нужно так:
Что еще нужно примостырить к qmail, что бы его можно было использовать на крупных MX'ах/эмиттер'ах? И почему djb не хочет/не может этого сделать?
Cообщить модератору | Наверх | ^

57. " DJB сил инфраструктуру"
Сообщение от Банзай email(??) on 29-Дек-04, 10:51 
Я в восторге от QMail+Courier+TLS. Очень гибко.
Cообщить модератору | Наверх | ^

58. " DJB сил инфраструктуру"
Сообщение от chip email(ok) on 29-Дек-04, 21:21 
>А зачем? Mail.Ru вас не убеждает?

mail.ru, как уже отметил Максим, использует exim. Только не оригинальный код, а судя по слухам (а как иначе можно судить ?!), слишком патченный на предмет кластеризации.

Cообщить модератору | Наверх | ^

59. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от chip email(ok) on 29-Дек-04, 21:26 
>Есть элементарные правила написания безопасного кода, соблюдая которые можно избежать 90% всех
>потенциальных уязвимостей, даже особо не вычищая код. Это как мыть руки
>перед едой, микробы остаются, но можно минимизировать их попадание в организм
>и усилить иммунитет.
>
>Таким образом, программы либо пишутся с оглядкой на безопасность

мои мысли сказанные чужими устами :).

Но есть одно "но" - а что использовать в качестве IMAP ? cyrus-imapd умеет sieve жизненно мне необходимый, умеет ли его dovecot (его сайт и схожие тематики, признаюсь не смотрел).

Cообщить модератору | Наверх | ^

34. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от uldus (ok) on 27-Дек-04, 14:30 
>черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован?

Не нравится мне такой подход, что за манера учиться на своих ошибках игнорируя чужие. Нужно заглядывать немного вперед, а не дожидаться пока через cyrus сломают именно ваш сервер.

Cообщить модератору | Наверх | ^

35. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Sultan on 27-Дек-04, 14:35 
Атаковать первым? :)
Cообщить модератору | Наверх | ^

39. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от СуперБизон (??) on 27-Дек-04, 16:35 
:)
Cообщить модератору | Наверх | ^

37. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Spark email on 27-Дек-04, 14:42 
>>черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован?
>
>Не нравится мне такой подход, что за манера учиться на своих ошибках
>игнорируя чужие. Нужно заглядывать немного вперед, а не дожидаться пока через
>cyrus сломают именно ваш сервер.


то есть у вас сервер был поломан через cyrus?

Cообщить модератору | Наверх | ^

44. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 18:13 
Что понравилось в dovecot - его автор не любит openssl...
Вы со своим подходом уже выкинули openssl из своих систем? Нет? А почему?


Cообщить модератору | Наверх | ^

46. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Аноним email on 27-Дек-04, 18:29 
gnutls работает с crypto_dev?
Cообщить модератору | Наверх | ^

47. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от unk (ok) on 27-Дек-04, 18:43 
>gnutls работает с crypto_dev?
нет.

Cообщить модератору | Наверх | ^

50. "Первый IMAP сервер написанный с оглядкой на безопасность."
Сообщение от Sultan email on 27-Дек-04, 20:33 
>>gnutls работает с crypto_dev?
>нет.
А openssl работает, сторонние патчи дыры прекрывают, пока...
Хотелось бы чего-нить, что совмещало бы в себе оба этих качетва изначально.


Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру