форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Первый IMAP сервер написанный с оглядкой на безопа..."

Сообщение от opennews on 27-Дек-04, 08:53

Как известно, низкая безопасность главный недостаток современных открытых IMAP серверов (UW-IMAP (http://www.washington.edu/imap/), Courier (http://www.inter7.com/courierimap/), Cyrus (http://asg.web.cmu.edu/cyrus/)). Но похоже ситуация изменилась, после начала разработки IMAP сервера Dovecot (http://dovecot.org/), главной задачей которого является создание по настоящему безопасной (http://iki.fi/tss/security/securesoftware.html) реализации IMAP сервера.  В настоящее время продукт уже достиг стадии позволяющей использовать его в "production" системах. Из возможностей можно отметить полную поддержку IMAP4rev1 (плюс реализация команд SORT и THREAD, которые часто используется в web-mail клиентах), работа с mailbox и maildir, низкие затраты ОЗУ и высокая производительность, понятный файл конфигурации, несколько уровней настроек работы в chroot, реализация поддержки TLS/SSL через библиотеку GNUTLS (возможна сборка с OpenSSL, но на безопасности это сказывается не лучшим образом). URL: http://dovecot.org/ Новость: http://www.opennet.me/opennews/art.shtml?num=4844

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Первый IMAP сервер написанный с оглядкой на безопасность."

Сообщение от grobik on 27-Дек-04, 08:53

К нему бы еще какой-нибудь web-интерфейс не шибко навороченный...

Cообщить модератору | Наверх | ^

	2. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от n9 on 27-Дек-04, 10:03
	Squirrelmail? (настраивается за 15 минут и не требует sql баз)
	Cообщить модератору | Наверх | ^

3. "Первый IMAP сервер написанный с оглядкой на безопасность."

Сообщение от sauron on 27-Дек-04, 10:20

хм... в целом приятственно, есть возможность хранения базы пользователей в LDAP и в PostgreSQL, что есть очень неплохо.

Cообщить модератору | Наверх | ^

4. "Первый IMAP сервер написанный с оглядкой на безопасность."

Сообщение от unk (ok) on 27-Дек-04, 10:35

THREAD=REFERENCES only, shared folders без acl'ей, жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен.

Cообщить модератору | Наверх | ^

	5. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Maxim Chirkov (ok) on 27-Дек-04, 10:46
	> жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен. Авторы наборот хвалятся, что из-за того что у них все что можно проиндексировано, скорость работы на порядок выше чем у UW-IMAP и Courier-imapd.
	Cообщить модератору | Наверх | ^

	9. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Phil Kulin on 27-Дек-04, 10:56
	Максим, честно скажу - стоит Cyrus на каком-то там целерончике. Вспоминаю о нём в двух случаях - когда место на диске заканчивается и когда он гад индекс кому-ниюудь бъёт. Нет проблемы нагрузки-то вроде, надуманна она. Чем они там похваляются - неясно...
	Cообщить модератору | Наверх | ^

	15. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Maxim Chirkov (ok) on 27-Дек-04, 11:28
	>Максим, честно скажу - стоит Cyrus на каком-то там целерончике. Вспоминаю о >нём в двух случаях - когда место на диске заканчивается и >когда он гад индекс кому-ниюудь бъёт. Нет проблемы нагрузки-то вроде, надуманна >она. Чем они там похваляются - неясно... Все разговоры о нагрузке сводятся к скорости парсинга mailbox'а с миллионом писем :-)
	Cообщить модератору | Наверх | ^

	10. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:00
	>> жутко тормозит на тяжелых (>5000 писем) папках - рано ему в продакшен. > >Авторы наборот хвалятся, что из-за того что у них все что можно >проиндексировано, скорость работы на порядок выше чем у UW-IMAP и Courier-imapd. На маленьких папках (тестировали только maildir) да, он быстрее. На больших все очень печально. Попробуйте сами...
	Cообщить модератору | Наверх | ^

	17. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Maxim Chirkov (ok) on 27-Дек-04, 11:33
	>На маленьких папках (тестировали только maildir) да, он быстрее. На больших все >очень печально. Попробуйте сами... Для maildir с большим числом писем в одной папке многое упирается в возможности файловой системы по хэшированию содержимого директории. Во FreeBSD спасает UFS_DIRHASH, в Linux - ReiserFS (не помню чтобы ex[23]fs умела такое).
	Cообщить модератору | Наверх | ^

	18. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:39
	>Для maildir с большим числом писем в одной папке многое упирается в >возможности файловой системы по хэшированию содержимого директории. Во FreeBSD спасает UFS_DIRHASH, Это было включено. >в Linux - ReiserFS (не помню чтобы ex[23]fs умела такое). Под линуксом не пробовали. Проблема была не только в IO - dovecot жрал больше cpu чем боевой курьер.
	Cообщить модератору | Наверх | ^

	6. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от sauron on 27-Дек-04, 10:50
	используйте dbmail
	Cообщить модератору | Наверх | ^

	13. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:14
	>используйте dbmail Спасибо, не хочу.
	Cообщить модератору | Наверх | ^

	16. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Danil (??) on 27-Дек-04, 11:32
	Кстати, что народ думает про dbmail? Поконкретнее ;-)
	Cообщить модератору | Наверх | ^

	19. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:46
	>Кстати, что народ думает про dbmail? Я не вижу плюсов от хранения почты в db. >Поконкретнее ;-) Мне не понятна сама идея.
	Cообщить модератору | Наверх | ^

	25. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от DarkShadow on 27-Дек-04, 12:26
	У меня с сентября стоит dbmail-mysql-1.2.9 клиентов > 500 - полет нормальный сейчас пытаюсь написать на перле webmail к нему
	Cообщить модератору | Наверх | ^

	27. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Danil (??) on 27-Дек-04, 12:48
	>У меня с сентября стоит dbmail-mysql-1.2.9 >клиентов > 500 - полет нормальный >сейчас пытаюсь написать на перле webmail к нему У меня примерно схожая ситуация =) Раздражает медлительность мэйнтэйнера порта под FreeBSD... До сих пор нет там 2.0.1, пришлось опять "почти руками" ставить... Я тоже начал писать на PHP небольшую "администрилку" для себя :-) Пока только информативную часть сделал, но "проектировал" и управление пользователями и алиасами; надо будет доделать до конца. В версии 2 раздражают некоторые "лажи"... Например, она у меня просто так не запустилась!.. Сказала, что у меня СУБД плохая... Я, конечно же, нашёл в коде, почему она так ругалась. Мне интересно, почему разработчики проверяют каждый раз таким запросом "нормальность" СУБД: SELECT 1=1 FROM dbmail_physmessage LIMIT 1 OFFSET 0 в процедуре db_check_version в db.c... Пришлось немного изменить код, чтобы она хоть как-то запускалась и работала. У меня MySQL ветки 4.0.22 на тестовой конфигурации. (хотя! я даже 4.1.7 поставил ради интереса для этого - то же самое было..) Ещё мне не нравится то, как "оно" ведёт логи.. Со слишком большим приоритетом; так, что они сыпались (до моего вмешательства в код =))) ) в messages. А нравится "масштабируемостью", да и в базе довольно удобно всю информацию хранить о пользователях и о почте самой. Т.е. не надо синхронизировать. Сейчас хочу на продакшн поставить вместе со SpamAssassin, и чтобы спам выпался в отдельную папочку (для этого тестирую отдельно уже некоторое время ;) ). В версии 1.2.9 dbmail-smtp не позволяет указать ящик IMAP, а в версии 2.0.1 - позволяет, и это очень удобно для создания "спамовой" папки. Но, правда, опять что-то криво написано у них, и если я добавляю в параметр командной строки "-m Spam", то создаётся, если его нет, ящик " Spam" (именно с пробелом), и всё идёт туда... Пришлось не указывать пробел :) Но они, имхо, могли бы сделать на это проверку... Вот эта кривость небольшая заставляет меня иногда задумываться об использовании чего-нибудь другого... типа Cyrus или Courier, ну или сабж попробовать...
	Cообщить модератору | Наверх | ^

	28. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от butcher (ok) on 27-Дек-04, 13:08
	>Раздражает медлительность мэйнтэйнера порта под FreeBSD... >До сих пор нет там 2.0.1, пришлось опять "почти руками" ставить... А вы ему письмо напишите :)
	Cообщить модератору | Наверх | ^

	7. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от pazke on 27-Дек-04, 10:53
	Это впечатления от версии 0.99.x ? IMHO ACL - не самая востребованное расширение IMAP. К тому же оно есть в планах, правда далеко не на первом месте. Кстати на больших папках тормозит постоянно или только при первом обращении ?
	Cообщить модератору | Наверх | ^

	11. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:05
	>Это впечатления от версии 0.99.x ? Да. >IMHO ACL - не самая востребованное расширение IMAP. К тому же оно >есть в планах, правда далеко не на первом месте. Вам нужны shared folders без acl? Мне нет. >Кстати на больших папках тормозит постоянно или только при первом обращении ? Постоянно. CPU states не сравнимо с курьером.
	Cообщить модератору | Наверх | ^

	20. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от pazke on 27-Дек-04, 11:51
	>>Это впечатления от версии 0.99.x ? >Да. Тогда спорить не стану. >>IMHO ACL - не самая востребованное расширение IMAP. К тому же оно >>есть в планах, правда далеко не на первом месте. >Вам нужны shared folders без acl? Мне нет. Так мне они и вовсе не нужны ;) >>Кстати на больших папках тормозит постоянно или только при первом обращении ? >Постоянно. CPU states не сравнимо с курьером. На мой взгляд все логично, индексы должны сокращают количество дисковых операций, но нагружают процессор. Кому-то это даст выигрыш, кому-то нет. Кстати версии 1.0-testX курьера уверенно обгоняют. Но им в продакшн точно рано.
	Cообщить модератору | Наверх | ^

	22. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 12:04
	>>Вам нужны shared folders без acl? Мне нет. >Так мне они и вовсе не нужны ;) Мне тоже :) Они нужны "корпоративным" пользователям. >>>Кстати на больших папках тормозит постоянно или только при первом обращении ? >>Постоянно. CPU states не сравнимо с курьером. >На мой взгляд все логично, индексы должны сокращают количество дисковых операций, но >нагружают процессор. Кому-то это даст выигрыш, кому-то нет. У меня он поставил в известную позу систему на 2-х оптеронах, io был ниже чем у курьера, но не значительно. >Кстати версии 1.0-testX курьера уверенно обгоняют. Но им в продакшн точно рано. Подождем релиза...
	Cообщить модератору | Наверх | ^

	8. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от vid (??) on 27-Дек-04, 10:56
	А тормоза на mailbox? и на Maildir-тоже?
	Cообщить модератору | Наверх | ^

12. "Первый IMAP сервер написанный с оглядкой на безопасность."

Сообщение от TaranTuL on 27-Дек-04, 11:10

У курьера по моему тормоза тоже в крови. По крайней мере у меня притормаживает из-за низкого иопс дисковой подсистемы, а система не слабая. И рэйд стоит идисков у него.. 8 в рэйде и 1 для загрузки, но все равно курьер притормаживает.

Cообщить модератору | Наверх | ^

	14. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 11:18
	>У курьера по моему тормоза тоже в крови. По крайней мере у >меня притормаживает из-за низкого иопс дисковой подсистемы, а система не слабая. >И рэйд стоит идисков у него.. 8 в рэйде и 1 У меня похожая конфигурация. >для загрузки, но все равно курьер притормаживает. Потому мы и пробовали dovecot в качестве замены - он не притормаживает, а полноценно тормозит.
	Cообщить модератору | Наверх | ^

	21. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от TaranTuL on 27-Дек-04, 11:56
	Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий в способе хранения данных.
	Cообщить модератору | Наверх | ^

	23. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 12:09
	>Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий >в способе хранения данных. У вас есть надежда, что mysql/postgres будут производительнее/легче чем заточенные под разбор maildir/mbox алгоритмы? У меня нет. Но если попробуете, то расскажите пожалуйста о результатах.
	Cообщить модератору | Наверх | ^

	40. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от TaranTuL on 27-Дек-04, 16:42
	>>Надо будет попробовать dbmail... но на рабочем сервере трудновато из-за больших различий >>в способе хранения данных. >У вас есть надежда, что mysql/postgres будут производительнее/легче чем заточенные под разбор >maildir/mbox алгоритмы? У меня нет. >Но если попробуете, то расскажите пожалуйста о результатах. Как обещают авторы dbmail ускорение происходит за счет того, что парзинг файловой системы происходит дольше, чем выборка из таблицы по индексы. Плюс к этой выборка дает возможность выбрать сразу только заголовки писем, не считавыя остальные части писем. Но надо все проверять, через месяц где-нибудь доберусь до этого дела, раньше врятли.
	Cообщить модератору | Наверх | ^

	41. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Danil (??) on 27-Дек-04, 17:15
	В общем-то заголовки и тела писем хранятся по-отдельности, но в одной таблице messageblks =) На сайте www.dbmail.org есть ERD всей БД.
	Cообщить модератору | Наверх | ^

	43. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 18:09
	Хотите индексы - пожалуйста. Зачем для этого sql?
	Cообщить модератору | Наверх | ^

24. "Первый ???"

Сообщение от Hostmaster on 27-Дек-04, 12:23

про bincimap забыли ... похоже никто из писавших про dbmail им не пользовался, во первых imapd там написан совсем не в стиле security in mind, во-вторых банально не умеет кэшировать заголовки (каждый раз SELECT-ит) и с сортировкой тоже проблемы. Но в общем работает не плохо. Вот бэкап это проблемы, но это уже недостатки БД.

Cообщить модератору | Наверх | ^

26. "Первый IMAP сервер написанный с оглядкой на безопасность."

Сообщение от Spark on 27-Дек-04, 12:30

а все-таки. Зачем искать лишний гиммор, когда есть cyrus?

Cообщить модератору | Наверх | ^

	29. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от uldus (ok) on 27-Дек-04, 13:18
	>а все-таки. Зачем искать лишний гиммор, когда есть cyrus? А что Cyrus уже переписали пофиксив все потенциально опасные с точки зрения безопасности куски кода ? Безопасностью в Cyrus никогда не пахло. http://www.opennet.me/opennews/art.shtml?num=4699
	Cообщить модератору | Наверх | ^

	38. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Phil Kulin on 27-Дек-04, 14:54
	Да ладно - вон, PHP и не язык, да ещё и дырявый - это не мешает ему считаться самым популярным. Один раз в год облажались в cyrus и давайте теперь гнать на него :)
	Cообщить модератору | Наверх | ^

	30. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Аноним on 27-Дек-04, 13:21
	Из-за того, что cyrus-imapd - проходной двор, да и аутентификация там через 1000 и 1 прокладку, а не напрямую.
	Cообщить модератору | Наверх | ^

	31. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Spark on 27-Дек-04, 13:36
	>А что Cyrus уже переписали пофиксив все потенциально опасные с точки зрения >безопасности куски кода ? Безопасностью в Cyrus никогда не пахло. qmail тоже был написан с "оглядкой" на безопасность. И все таки sendmail от того совсем не помер, равно как и exim, postfix. черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован? >Из-за того, что cyrus-imapd - проходной двор, да и аутентификация там через >1000 и 1 прокладку, а не напрямую. Чем тебя PAM то не устраивает? SASL? и что такое "авторизация напрямую"???? Совсем не имею ничего против dovecot. Но уж больно у cyrus много плюсов чтобы оглядываться на альтернативы.
	Cообщить модератору | Наверх | ^

	32. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Sultan on 27-Дек-04, 14:14
	Аутентификация, а не авторизация. Авторизация - права на пользование услугой, аутентификация - идентификация пользователя; пора запомнить уже, по-моему. Не нравится pam+authdaemon из-за того, что дыры умножаюится, вероятность неработоспособности - тоже, ну и оверхед. В freebsd5.3 /usr/ports/security/pam-pgsql broken. Короче - мне такой хоккей не интересен.
	Cообщить модератору | Наверх | ^

	33. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Spark on 27-Дек-04, 14:23
	>Аутентификация, а не авторизация. >Авторизация - права на пользование услугой, аутентификация - идентификация пользователя; пора запомнить >уже, по-моему. сорри, невнимательн опрочитал пост. >Не нравится pam+authdaemon из-за того, что дыры умножаюится, вероятность неработоспособности - тоже, >ну и оверхед. В freebsd5.3 /usr/ports/security/pam-pgsql broken. Короче - мне такой >хоккей не интересен. Различные значит задачи стоят. Хотя маниакальность надо чем-то оправдывать.. :)
	Cообщить модератору | Наверх | ^

	36. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Sultan on 27-Дек-04, 14:39
	Маниакальность - безоглядное следование "Заветом Мао" (aka unix way :)? Дык оно Бритвой Окама должно отекаться :)))
	Cообщить модератору | Наверх | ^

	42. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Андрей (??) on 27-Дек-04, 17:19
	Ну да, в каждой программе будем повторять функциональность всей ОС, чтобы "все напрямую". А от этого надежность не выростет, абсолютно. Плюс рост объема кода, "расползание", в попытке охватить необьятное, совсем не способствует его ясности (== отсуствию ошибок). А насчет надеждности - так она повышается. Тебе понравиться, если из-за ошибки реализации аутенфикации через любимый pgsql у тебя будет слетать твой imap-сервер? А так проблема будет касаться только authdaemon. А если делать реализацию через отдельный демон, ты уверен что у них получиться лучше, чем это реализовано в SASL? Я - нет. В любом софте существуют ошибки. Если кто-то говорит, что их нет - это всего лишь означает, что их еще не нашли. Я более чем уверен, что растопыривание пальцев авторами Dovecot связано только с тем, что никто еще не проводил серьезный аудит их кода. Вобщем, 2 ошибки в cyrus - это совершенно не повод лихорадочно искать ему замену.
	Cообщить модератору | Наверх | ^

	45. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Sultan on 27-Дек-04, 18:28
	[quote] Ну да, в каждой программе будем повторять функциональность всей ОС, чтобы "все напрямую". А от этого надежность не выростет, абсолютно. Плюс рост объема кода, "расползание", в попытке охватить необьятное, совсем не способствует его ясности (== отсуствию ошибок). [/quote] Не надо всё громоздить на один сервер. [quote] А насчет надеждности - так она повышается. Тебе понравиться, если из-за ошибки реализации аутенфикации через любимый pgsql у тебя будет слетать твой imap-сервер? [/quote] Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql). [quote] А если делать реализацию через отдельный демон, ты уверен что у них получиться лучше, чем это реализовано в SASL [/quote] Я вижу, что exim работает куда прямее, чем весь этот набор прокладок. [quote] В любом софте существуют ошибки. Если кто-то говорит, что их нет - это всего лишь означает, что их еще не нашли. Я более чем уверен, что растопыривание пальцев авторами Dovecot связано только с тем, что никто еще не проводил серьезный аудит их кода. [/quote] Не надо плодить ситуаций, потенциально порождающие слабые места. Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев. [quote] Вобщем, 2 ошибки в cyrus - это совершенно не повод лихорадочно искать ему замену. [/quote] А я его и не ставил - я посмотрел на cyrus-imapd - не понравился и не стал связываться. Кстати, я юзаю курьеровский imap, но за dovecot слежу. Так же могу сказать, что большая функциональность вовсе не означает, что там боьшой объем кода, справедливо и наоборот.
	Cообщить модератору | Наверх | ^

	48. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Андрей (??) on 27-Дек-04, 18:51
	>Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql). "Только"? У тебя что-то не в ту сторону логика вывернута. По моему, pam-pgsql значительно менее важная составляющая чем imap сервер. И его легко по быстрому сменить. Смена imap-сервера процесс значительно более трудоемкий. >Я вижу, что exim работает куда прямее, чем весь этот набор прокладок. Ты что с чем сравниваешь? Или exim не использует набор прокладок PAM, SASL? Использует. Да, его можно скомпилировать без поддержки PAM и SASL. Я компилириую с SASL. >Не надо плодить ситуаций, потенциально порождающие слабые места. >Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев. Для этого нужно оценить коэфициенты надежности элементов. Вряд ли ты это делал. Это раз. Два, код , вкомпиленый в бинарник, ты элементом не считаешь?
	Cообщить модератору | Наверх | ^

	49. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Аноним on 27-Дек-04, 20:29
	>>Сломается только imap-сервер, а не всё, что завязанно на этом механизме (pam-pgsql). >"Только"? У тебя что-то не в ту сторону логика вывернута. По моему, >pam-pgsql значительно менее важная составляющая чем imap сервер. Логика у меня техническая. >И его легко по быстрому сменить. Смена imap-сервера процесс значительно более трудоемкий. Пока есть из чего выбрать. >>Я вижу, что exim работает куда прямее, чем весь этот набор прокладок. >Ты что с чем сравниваешь? Или exim не использует набор прокладок PAM, >SASL? Использует. Да, его можно скомпилировать без поддержки PAM и SASL. > >Я компилириую с SASL. Ну и флаг... >>Не надо плодить ситуаций, потенциально порождающие слабые места. >>Вероятность работоспособности сложной системы равна произведению вероятностей безотказной работы всех ее звеньев. >Для этого нужно оценить коэфициенты надежности элементов. Вряд ли ты это делал. Априори - распределение равномерное, но pam-pgsql уже не работает, так что апостериорно - вероятность отказа сложной системы (pam + демон аутентификации + sasl) выше. А сломается api pgsql помрут всё, и то что pam-pgsql будет жив сам по себе радовать будет мало. >Это раз. Два, код , вкомпиленый в бинарник, ты элементом не >считаешь? Нет, т.к. всё что есть из встроенных средств всё равно в совокупности меньше набора прокладок. Без фанатизму надо подходить к вопросам. Прокладки, конечно, нужны, но в не везде.
	Cообщить модератору | Наверх | ^

	51. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Maxim Chirkov (ok) on 27-Дек-04, 22:03
	>В любом софте существуют ошибки. Если кто-то говорит, что их нет - >это всего лишь означает, что их еще не нашли. Я более >чем уверен, что растопыривание пальцев авторами Dovecot связано только с Есть элементарные правила написания безопасного кода, соблюдая которые можно избежать 90% всех потенциальных уязвимостей, даже особо не вычищая код. Это как мыть руки перед едой, микробы остаются, но можно минимизировать их попадание в организм и усилить иммунитет. Таким образом, программы либо пишутся с оглядкой на безопасность (postfix, qmail, vsftpd, popa3d), либо в стиле, да простят меня почитатели Эрика Реймонда, "собор и базар", т.е. с мира по нитке (патчу) и пишу как могу (примеры такого подхода: fetchmail, proftpd, uw-imapd, wu-ftpd, qpopper). Конечно, я утрирую, ситуация не столь биполярна. Cyrus больше склоняется ко второму подходу, я как-то заглядывал в его код (у меня вообще правило - прежде чем запустить новый сетевой сервис обязательно бегло посмотреть в код), уверяю вас - это далеко не последние найденные ошибки безопасности.
	Cообщить модератору | Наверх | ^

	52. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Андрей (??) on 28-Дек-04, 00:16
	>Cyrus больше склоняется ко второму подходу, я как-то заглядывал в его код >(у меня вообще правило - прежде чем запустить новый сетевой сервис >обязательно бегло посмотреть в код), уверяю вас - это далеко не >последние найденные ошибки безопасности. Ладно, останемся при своих мнениях. Я утверждаю, что ошибки в любом развивающемся проекте с числом разработчиков больше одного неизбежны. У всех приведенных тобой примеров программ, демонстрирующих right way, один разработчик.
	Cообщить модератору | Наверх | ^

	53. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Maxim Chirkov (ok) on 28-Дек-04, 10:08
	>Ладно, останемся при своих мнениях. Я утверждаю, что ошибки в любом развивающемся >проекте с числом разработчиков больше одного неизбежны. >У всех приведенных тобой примеров программ, демонстрирующих right way, один разработчик. Не совсем, самый яркий пример - postfix, не удивлюсь если кода Venema в последних версиях меньше чем контрибьюторов. Но в postfix есть четкая архтектура, жесткий аудит всех патчей и определенный набор требований к написанию кода. DJB не хватило сил создать инфраструктуру, а  Venema смог. В vsftpd тоже последнее время вливается огромное число сторонних патчей, и это не мешает ему оставаться безопасным.
	Cообщить модератору | Наверх | ^

	54. " DJB сил инфраструктуру"
	Сообщение от Банзай (??) on 28-Дек-04, 14:03
	А зачем? Mail.Ru вас не убеждает? Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в том, что на Qmail можно (нужно) делать почту?
	Cообщить модератору | Наверх | ^

	55. " DJB сил инфраструктуру"
	Сообщение от Maxim Chirkov (ok) on 28-Дек-04, 14:56
	>А зачем? Mail.Ru вас не убеждает? А не exim ли у них сейчас ? ".... by mx6.mail.ru with esmtp (Exim SMTP.6)"  :-) >Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в >том, что на Qmail можно (нужно) делать почту? Нет единого продукта, а есть qmail + набор патчей. Можно быть уверенным только в безопасности qmail, который очень редко используют без дополнительных патчей. DJB не смог огранизовать процесс аудита всех дополнений и создать единый продукт. Что касается mail.ru или hotmail.com, то здесь выбор был в большей степени продиктован историческими причинами, на тот момент особого выбора не было.
	Cообщить модератору | Наверх | ^

	56. " DJB сил инфраструктуру"
	Сообщение от unk (ok) on 28-Дек-04, 15:53
	>Чего еще нужно примостырить к Mail.Ru, чтобы вы дали себе отчет в >том, что на Qmail можно (нужно) делать почту? Вы не правильно формулируете вопрос. Нужно так: Что еще нужно примостырить к qmail, что бы его можно было использовать на крупных MX'ах/эмиттер'ах? И почему djb не хочет/не может этого сделать?
	Cообщить модератору | Наверх | ^

	57. " DJB сил инфраструктуру"
	Сообщение от Банзай (??) on 29-Дек-04, 10:51
	Я в восторге от QMail+Courier+TLS. Очень гибко.
	Cообщить модератору | Наверх | ^

	58. " DJB сил инфраструктуру"
	Сообщение от chip (ok) on 29-Дек-04, 21:21
	>А зачем? Mail.Ru вас не убеждает? mail.ru, как уже отметил Максим, использует exim. Только не оригинальный код, а судя по слухам (а как иначе можно судить ?!), слишком патченный на предмет кластеризации.
	Cообщить модератору | Наверх | ^

	59. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от chip (ok) on 29-Дек-04, 21:26
	>Есть элементарные правила написания безопасного кода, соблюдая которые можно избежать 90% всех >потенциальных уязвимостей, даже особо не вычищая код. Это как мыть руки >перед едой, микробы остаются, но можно минимизировать их попадание в организм >и усилить иммунитет. > >Таким образом, программы либо пишутся с оглядкой на безопасность мои мысли сказанные чужими устами :). Но есть одно "но" - а что использовать в качестве IMAP ? cyrus-imapd умеет sieve жизненно мне необходимый, умеет ли его dovecot (его сайт и схожие тематики, признаюсь не смотрел).
	Cообщить модератору | Наверх | ^

	34. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от uldus (ok) on 27-Дек-04, 14:30
	>черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован? Не нравится мне такой подход, что за манера учиться на своих ошибках игнорируя чужие. Нужно заглядывать немного вперед, а не дожидаться пока через cyrus сломают именно ваш сервер.
	Cообщить модератору | Наверх | ^

	35. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Sultan on 27-Дек-04, 14:35
	Атаковать первым? :)
	Cообщить модератору | Наверх | ^

	39. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от СуперБизон (??) on 27-Дек-04, 16:35
	:)
	Cообщить модератору | Наверх | ^

	37. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Spark on 27-Дек-04, 14:42
	>>черт возьми. Есть здесь кто-нить, у кого cyrus был скомпрометирован? > >Не нравится мне такой подход, что за манера учиться на своих ошибках >игнорируя чужие. Нужно заглядывать немного вперед, а не дожидаться пока через >cyrus сломают именно ваш сервер. то есть у вас сервер был поломан через cyrus?
	Cообщить модератору | Наверх | ^

	44. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 18:13
	Что понравилось в dovecot - его автор не любит openssl... Вы со своим подходом уже выкинули openssl из своих систем? Нет? А почему?
	Cообщить модератору | Наверх | ^

	46. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Аноним on 27-Дек-04, 18:29
	gnutls работает с crypto_dev?
	Cообщить модератору | Наверх | ^

	47. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от unk (ok) on 27-Дек-04, 18:43
	>gnutls работает с crypto_dev? нет.
	Cообщить модератору | Наверх | ^

	50. "Первый IMAP сервер написанный с оглядкой на безопасность."
	Сообщение от Sultan on 27-Дек-04, 20:33
	>>gnutls работает с crypto_dev? >нет. А openssl работает, сторонние патчи дыры прекрывают, пока... Хотелось бы чего-нить, что совмещало бы в себе оба этих качетва изначально.
	Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема