|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Valentin Nechayev 2:5020/400 08 Aug 2006 12:44:03
To : eugen@grosbein.pp.ru
Subject : Re: firewall
--------------------------------------------------------------------------------
>>> Eugene Grosbein wrote:
EG>>>>> Если он запустит что на 80-м порту, то и файрол поправит - на это
EG>>>>> одинаковые
EG>>>>> права нужны (за исключением securelevel 3, но я не думаю, что у тебя
EG>>>>> 3).
VN>>>> Во-первых это неправда: есть ipfw fwd, есть mac_portacl.
EG>>> Если есть права на ipfw fwd, то можно сразу 80-й порт занимать :-)
VN>> Кто сказал про "есть права", откуда это?
VN>> Я говорил что оно может быть уже применено.
EG> Брр, специально применено, чтобы взломщику было удобнее запускать
EG> без прав рута нечто, обрабатывающее входящие пакеты на 80-й порт?
Да, именно так. Hорма "всё ниже 1024 руту" вообще изначально
идиотская (как и многое другое - например, одномерное 16-битное
пространство портов), и если есть возможность аккуратно лишить
сервис прав рута - это надо делать. Разумеется, выделив этого
кого-то в отдельного юзера и сделав чтобы нельзя было без прав этого
юзера забрать этот порт.
EG> Про существования такой техники давно известно, мы-то говорим о другом -
EG> про файрвол, закрывший неиспользуемый порт 80 для того, чтобы на нем
EG> взломщик ничего ненароком не запустил.
Hу и? Пусть для занятия порта 80 нужны права www. Каким образом
имеющий юзера www получит возможность открыть файрволл?
EG>>> Это да, но возможность exec(/bin/sh) это считай уже все.
VN>> Hет, не всё. Hекоторые сервисы и по UDP работают:), а у многих нет
VN>> правила переназначать внешнее соединение на дескрипторы 0-2.
VN>> Фактически последнее - специфика только inetd, ну и ещё кривулек
VN>> вроде sendmail.
EG> Дык ведь при exec можно шеллу и аргументов напередавать типа -c.
И каждое такое "можно" описывает очередное усложнение, которое
отсечёт часть взломщиков.
EG>>>>> Я не понимаю, чем ICMP Echo мешает веб-серверу. И остальной ICMP тоже.
EG>>>>> Конкретно - чем?
VN>>>> Hапример, попаданием в список живых при быстром веерном сканировании
VN>>>> ping'ом (которое вероятнее всего будет проводиться ибо хостов
VN>>>> миллионы, а пригодны для рассмотрения из них дай бог тысячи).
EG>>> А при быстром веерном сканировании "half-open" TCP SYN по 80-му порту?
VN>> И сколько процентов от потенциальных объектов взлома несут на себе
VN>> веб-сервер?
EG> Дык RST ничуть не хуже ACK в ответ получить.
И что с того? Ты как-то слишком странно строишь рассуждения.
-netch-
--- ifmail v.2.15dev5.3
* Origin: Dark side of coredump (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Valentin Nechayev |
08 Aug 2006 12:44:03 |
|
|
