smrsh(1M)


smrsh -- sendmail 用の制限付きシェル

形式

/etc/mail/smrsh -c command

機能説明

smrsh プログラムは、 sendmail(1M) コンフィギュレーションファイル内の prog メーラーに使う sh に代わるシェルです。このシェルでは、 システム全体のセキュリティを向上させるために、sendmail|program 構文を使って実行できるコマンドの選択が制限されます。つまり、侵入者が sendmail を使い、別名ファイルや転送ファイルにアクセスしないでプログラムを実行できても、smrsh によってユーザが実行できるプログラムの集合が制限されます。

smrsh では、ディレクトリ /usr/adm/sm.bin 内で使用可能なプログラムが制限され、システム管理者は受入可能なコマンドの集合を選択できます。また、文字 `、<、>、|、;、&、$、(、)、<Return>、または(改行)を含むコマンドは、コマンド行に入力しても拒否され、``end run''アクセスが禁止されます。

プログラムの初期パス名は削除されます。

システム管理者は、制限を /usr/adm/sm.bin に控えめに反映させる必要があります 。 sm.bin ディレクトリには、perl など、シェルやシェルに似たプログラムをインクルードしないでください。このようなインクルード操作を実行しても、sm.bin ディレクトリ内でシェルや perl スクリプトの使用が制限されるわけではなく(#! 構文を使用)、単に任意のプログラムを実行できなくなるだけです。

ほとんどのシステム上では、コンパイルは簡単なはずです。-DPATH=path を使って省略時の検索パス(省略時には /bin:/usr/bin:/usr/ucb)を調整したり、-DCMDBIN=dir を使って省略時のプログラムディレクトリ(省略時には /usr/adm/sm.bin)を変更しなければならない場合があります。

ファイル

/usr/adm/sm.bin
制限付きプログラムのディレクトリ

関連項目

sendmail(1M)
SCO UnixWare Forum Beta Release (BL12) -- September 1997
© 1997 The Santa Cruz Operation, Inc. All rights reserved.