O bezpecnosti a tak...

Dan Lukes dan at obluda.cz
Sun Nov 2 22:47:50 CET 2003


Ivan Doležal wrote:

> 2. Zaujalo mě, že ve FreeBSD jsou v sysctl k mání hodnoty...
> net.inet.ip.portrange.reservedhigh: 1023
> net.inet.ip.portrange.reservedlow: 0
> ...kterými lze vypnout nutnost startovat různé špatně napsané aplikace s 
> rootovskými privilegii.


	To, co rikate je v mnoha ohledech pravda. To, ze nejaka komunikace 
prichazi z nejakeho konkretniho cisla portu neni jakakoliv zaruka jeji 
duveryhodnosti.

	Eskalovat prava jen kvuli pristupu k rezervovanemu portu muze a nemusi 
byt vhodne. Existuje nescislne mnoho ruznych situaci a potreb - a k nim 
existuji urcita optimalni nastaveni. K ruznym situacim ruzna.

> kterých uživatelé ani nevědí, mi to ale připadá jako archaismus, který 
> nutí u nedbale zabezpečovaných počítačů zbytečně eskalovat práva k 
> programu, jenom proto, aby měl právo přístupu k jakémusi portu.
> Lidé z OpenBSD (o jejichž kompetenci nemám důvod pochybovat) to 
> pokládají za chybný přístup 
> http://www.netsys.com/openbsd-misc/2003/06/msg00672.html . Chtěl jsem si 

	Ve vecech bezpecnosti OPRAVDU neexistuje zadny univerzalne platny nazor.

	Ja bych se rezervovanych portu nezbavoval tak snadno. Jsou situace, 
ktere lze jen resit bez nich sloziteji nez s nimi. Ostatne, pisete o 
nich sam ...

 > proto pro zajímavost udělat obrázek o tom, jestli takovou možnost někdo
 > z vás používá nebo naopak vědomě nepoužívá, protože ji rovněž pokládá za
 > nebezpečnou. Co je podle vás větší zlo? Získat možnost být "root" u
 > špatně napsaných aplikací (a posléze si nabindovat své "zlé" aplikace)
 > nebo získat práva obyčejného uživatele (a posléze si nabindovat svou
 > jednu "zlou" aplikaci)?

	Porovnavame dve ruzna rizika - a v ruznych situacich vam vyjdou jako 
optimalni ruzne pristupy. A dokonce, ve stejne situaci dojdou dva ruzni 
lide k ruznym zaverum o tom, co je bezpecnejsi.

	Neumim odpovedet obecne. Ani co bych pouzil ja, pokud neni jasne 
popsana situace a neni jasne, o jake zcela konkretni aplikaci (a verzi) 
se bavime.

	Podle me je dobre, ze existuji "rezervovane" porty - a je dobre, ze je 
lze "vypnout" (jeste lepsi by byla jemnejsi granularita).

	I kdyz to nekdo muze povazovat za chybny pristup ...


						Dan






More information about the Users-l mailing list