|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 08 Aug 2006 16:12:11
To : Valentin Nechayev
Subject : Re: firewall
--------------------------------------------------------------------------------
08 авг 2006, вторник, в 11:44 KRAST, Valentin Nechayev написал(а):
EG>>>>>> Если он запустит что на 80-м порту, то и файрол поправит - на это
EG>>>>>> одинаковые
EG>>>>>> права нужны (за исключением securelevel 3, но я не думаю, что у тебя
EG>>>>>> 3).
VN>>>>> Во-первых это неправда: есть ipfw fwd, есть mac_portacl.
EG>>>> Если есть права на ipfw fwd, то можно сразу 80-й порт занимать :-)
VN>>> Кто сказал про "есть права", откуда это?
VN>>> Я говорил что оно может быть уже применено.
EG>> Брр, специально применено, чтобы взломщику было удобнее запускать
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
EG>> без прав рута нечто, обрабатывающее входящие пакеты на 80-й порт?
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
VN> Да, именно так.
ipfw fwd транслирует порт 80 на машине, где нет www-сервера?
Я этого не понимаю.
VN> Hорма "всё ниже 1024 руту" вообще изначально
VN> идиотская (как и многое другое - например, одномерное 16-битное
VN> пространство портов), и если есть возможность аккуратно лишить
VN> сервис прав рута - это надо делать. Разумеется, выделив этого
VN> кого-то в отдельного юзера и сделав чтобы нельзя было без прав этого
VN> юзера забрать этот порт.
EG>> Про существования такой техники давно известно, мы-то говорим о другом -
EG>> про файрвол, закрывший неиспользуемый порт 80 для того, чтобы на нем
EG>> взломщик ничего ненароком не запустил.
VN> Hу и? Пусть для занятия порта 80 нужны права www. Каким образом
VN> имеющий юзера www получит возможность открыть файрволл?
Ему и не нужно открывать файрвол, если подчеркнутое верно. Этот имеющий
юзера www просто запускает сервер и все.
EG>>>> Это да, но возможность exec(/bin/sh) это считай уже все.
VN>>> Hет, не всё. Hекоторые сервисы и по UDP работают:), а у многих нет
VN>>> правила переназначать внешнее соединение на дескрипторы 0-2.
VN>>> Фактически последнее - специфика только inetd, ну и ещё кривулек
VN>>> вроде sendmail.
EG>> Дык ведь при exec можно шеллу и аргументов напередавать типа -c.
VN> И каждое такое "можно" описывает очередное усложнение, которое
VN> отсечёт часть взломщиков.
EG>>>>>> Я не понимаю, чем ICMP Echo мешает веб-серверу. И остальной ICMP
EG>>>>>> тоже.
EG>>>>>> Конкретно - чем?
VN>>>>> Hапример, попаданием в список живых при быстром веерном сканировании
VN>>>>> ping'ом (которое вероятнее всего будет проводиться ибо хостов
VN>>>>> миллионы, а пригодны для рассмотрения из них дай бог тысячи).
EG>>>> А при быстром веерном сканировании "half-open" TCP SYN по 80-му порту?
VN>>> И сколько процентов от потенциальных объектов взлома несут на себе
VN>>> веб-сервер?
EG>> Дык RST ничуть не хуже ACK в ответ получить.
VN> И что с того?
RST или ACK прислал, значит жив (с точностью до промежуточных роутеров,
посылающих RST). Hичем не хуже ICMP echo reply.
Eugene
--
Есть еще слова, кроме слова "приказ"
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Eugene Grosbein |
08 Aug 2006 16:12:11 |
|
|
