|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 08 Aug 2006 13:20:24
To : Valentin Nechayev
Subject : Re: firewall
--------------------------------------------------------------------------------
08 авг 2006, вторник, в 08:39 KRAST, Valentin Nechayev написал(а):
AK>>> По мне фаервол лишним не будет. Я предпочитаю закрыть все лишнее и
AK>>> фаерволом, и
AK>>> программу не запускать, если она не нужна, и настроить ее, если нужна. И
AK>>> если
AK>>> там нет веб сервера, то нефиг туда по 80 порту пускать никого. Дабы если
AK>>> злоумышленник запустит там что на 80 порту, оно не работало.
EG>> Если он запустит что на 80-м порту, то и файрол поправит - на это
VN> одинаковые
EG>> права нужны (за исключением securelevel 3, но я не думаю, что у тебя 3).
VN> Во-первых это неправда: есть ipfw fwd, есть mac_portacl.
Если есть права на ipfw fwd, то можно сразу 80-й порт занимать :-)
VN> Во-вторых даже при наличии рута, пока нет полноценного нормального
VN> шелла, крайне трудно ориентироваться в обстановке чужого хоста.
VN> Против успешного дохождения до стадии "есть рутовый шелл с доступом
VN> телнетом или ssh'ем" играет множество факторов, и каждый способен
VN> сбить на подлёте к результату.
Это да, но возможность exec(/bin/sh) это считай уже все.
EG>> Я не понимаю, чем ICMP Echo мешает веб-серверу. И остальной ICMP тоже.
EG>> Конкретно - чем?
VN> Hапример, попаданием в список живых при быстром веерном сканировании
VN> ping'ом (которое вероятнее всего будет проводиться ибо хостов
VN> миллионы, а пригодны для рассмотрения из них дай бог тысячи).
А при быстром веерном сканировании "half-open" TCP SYN по 80-му порту?
Eugene
--
И знатную леди от Джуди О'Греди
Hе сможет никто отличить.
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Eugene Grosbein |
08 Aug 2006 13:20:24 |
|
|
