O bezpecnosti a tak...
Dan Lukes
dan at obluda.cz
Sun Nov 2 22:47:50 CET 2003
Ivan Doležal wrote:
> 2. Zaujalo mě, že ve FreeBSD jsou v sysctl k mání hodnoty...
> net.inet.ip.portrange.reservedhigh: 1023
> net.inet.ip.portrange.reservedlow: 0
> ...kterými lze vypnout nutnost startovat různé špatně napsané aplikace s
> rootovskými privilegii.
To, co rikate je v mnoha ohledech pravda. To, ze nejaka komunikace
prichazi z nejakeho konkretniho cisla portu neni jakakoliv zaruka jeji
duveryhodnosti.
Eskalovat prava jen kvuli pristupu k rezervovanemu portu muze a nemusi
byt vhodne. Existuje nescislne mnoho ruznych situaci a potreb - a k nim
existuji urcita optimalni nastaveni. K ruznym situacim ruzna.
> kterých uživatelé ani nevědí, mi to ale připadá jako archaismus, který
> nutí u nedbale zabezpečovaných počítačů zbytečně eskalovat práva k
> programu, jenom proto, aby měl právo přístupu k jakémusi portu.
> Lidé z OpenBSD (o jejichž kompetenci nemám důvod pochybovat) to
> pokládají za chybný přístup
> http://www.netsys.com/openbsd-misc/2003/06/msg00672.html . Chtěl jsem si
Ve vecech bezpecnosti OPRAVDU neexistuje zadny univerzalne platny nazor.
Ja bych se rezervovanych portu nezbavoval tak snadno. Jsou situace,
ktere lze jen resit bez nich sloziteji nez s nimi. Ostatne, pisete o
nich sam ...
> proto pro zajímavost udělat obrázek o tom, jestli takovou možnost někdo
> z vás používá nebo naopak vědomě nepoužívá, protože ji rovněž pokládá za
> nebezpečnou. Co je podle vás větší zlo? Získat možnost být "root" u
> špatně napsaných aplikací (a posléze si nabindovat své "zlé" aplikace)
> nebo získat práva obyčejného uživatele (a posléze si nabindovat svou
> jednu "zlou" aplikaci)?
Porovnavame dve ruzna rizika - a v ruznych situacich vam vyjdou jako
optimalni ruzne pristupy. A dokonce, ve stejne situaci dojdou dva ruzni
lide k ruznym zaverum o tom, co je bezpecnejsi.
Neumim odpovedet obecne. Ani co bych pouzil ja, pokud neni jasne
popsana situace a neni jasne, o jake zcela konkretni aplikaci (a verzi)
se bavime.
Podle me je dobre, ze existuji "rezervovane" porty - a je dobre, ze je
lze "vypnout" (jeste lepsi by byla jemnejsi granularita).
I kdyz to nekdo muze povazovat za chybny pristup ...
Dan
More information about the Users-l
mailing list