uucp.security.called-login防范诈骗者
关于 UUCP 最主要的问题之一是,呼叫系统可以谎报其名称;它在登录后向被呼叫系统声明其名称,但服务器无法验证这一点。因此,攻击者可以登录他们自己的 UUCP 账户,伪装成其他人,并获取其他站点的邮件。如果你提供通过匿名 UUCP 登录,并且密码是公开的,这尤其麻烦。
除非你确信你可以信任所有呼叫你系统的站点是诚实的,否则你必须防范这类冒名顶替者。解决这个问题的办法是要求每个系统使用特定的登录名,通过在 sys 文件中指定 called-login。一个系统条目的示例可能如下所示
这样做的好处是,每当一个系统登录并伪装成 pablo 时,uucico 将检查它是否以 Upablo 身份登录。如果没有,呼叫系统将被拒绝,连接将被断开。你应该养成习惯,在你添加到 sys 文件中的每个系统条目中添加 called-login 命令。重要的是,你对所有系统都这样做,无论它们是否会呼叫你的站点。对于那些从不呼叫你的站点,你可能应该将 called-login 设置为一些完全虚假的用户名称,例如 neverlogsin。