Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Valentin Nechayev                    2:5020/400     08 Aug 2006  11:38:04
 To : eugen@grosbein.pp.ru
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 
 
 >>> Eugene Grosbein wrote: 
 
  AK>>>> По мне фаервол лишним не будет. Я предпочитаю закрыть все лишнее и
  AK>>>> фаерволом, и
  AK>>>> программу не запускать, если она не нужна, и настроить ее, если нужна. И
  AK>>>> если
  AK>>>> там нет веб сервера, то нефиг туда по 80 порту пускать никого. Дабы если
  AK>>>> злоумышленник запустит там что на 80 порту, оно не работало.
  EG>>> Если он запустит что на 80-м порту, то и файрол поправит - на это
  VN>> одинаковые
  EG>>> права нужны (за исключением securelevel 3, но я не думаю, что у тебя 3).
  VN>> Во-первых это неправда: есть ipfw fwd, есть mac_portacl.
 EG> Если есть права на ipfw fwd, то можно сразу 80-й порт занимать :-)
 
 Кто сказал про "есть права", откуда это?
 Я говорил что оно может быть уже применено.
 
  VN>> Во-вторых даже при наличии рута, пока нет полноценного нормального
  VN>> шелла, крайне трудно ориентироваться в обстановке чужого хоста.
  VN>> Против успешного дохождения до стадии "есть рутовый шелл с доступом
  VN>> телнетом или ssh'ем" играет множество факторов, и каждый способен
  VN>> сбить на подлёте к результату.
 EG> Это да, но возможность exec(/bin/sh) это считай уже все.
 
 Hет, не всё. Hекоторые сервисы и по UDP работают:), а у многих нет
 правила переназначать внешнее соединение на дескрипторы 0-2.
 Фактически последнее - специфика только inetd, ну и ещё кривулек
 вроде sendmail.
 
  EG>>> Я не понимаю, чем ICMP Echo мешает веб-серверу. И остальной ICMP тоже.
  EG>>> Конкретно - чем?
  VN>> Hапример, попаданием в список живых при быстром веерном сканировании
  VN>> ping'ом (которое вероятнее всего будет проводиться ибо хостов
  VN>> миллионы, а пригодны для рассмотрения из них дай бог тысячи).
 EG> А при быстром веерном сканировании "half-open" TCP SYN по 80-му порту?
 
 И сколько процентов от потенциальных объектов взлома несут на себе
 веб-сервер?
 -netch-
 --- ifmail v.2.15dev5.3
  * Origin: Dark side of coredump (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: firewall   Valentin Nechayev   08 Aug 2006 11:38:04 
Архивное /ru.unix.bsd/223832bd33154.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional