Re: lug-bg: Възможен ли е такъв FIREWALL
- Subject: Re: lug-bg: Възможен ли е такъв FIREWALL
- From: George Danchev <danchev@xxxxxxxxx>
- Date: Tue, 19 Oct 2004 20:24:20 +0300
On Tuesday 19 October 2004 19:06, Peter Pentchev wrote:
> On Tue, Oct 19, 2004 at 06:53:04PM +0300, George Danchev wrote:
> > On Tuesday 19 October 2004 18:20, CIO wrote:
> > > Здравейте
> > > Възможна ли е следната защитна стена под Линукс
> > > Например приложение порт към който да се свърже и хост
> > >
> > > Пример Кмайл порт 25 хост моето ИСП
> > >
> > > Идеята е да се предпазим от софтуер който примерно без мое знание
> > > изпрати майл по разрешен от мен порт в случая 25
> > >
> > > Тоест да не разреша порт 25 изобщо а да го разреша само за даден
> > > софтуер.
> >
> > виж модула owner в man iptables, няколко са, но те интересуват:
> > --pid-owner processid
> > --cmd-owner name
>
> Е, добре де, оказа се, че имало :) Все пак да отбележа за протокола, че
> според мен няма много смисъл от това :)
Просто въпроса беше такъв... иначе утотнението ти е уместно.
Ами смисъла може да е следния ;-)
има опции с които да се пазиш от другите (uid, gid, pid, sid) и такива с които
да се пазиш сам от себе си (cmd), т.е. не от зли съ-потребители.
Може би трябва това да се обясни в ман-страницата кое за какво може да се
използва, освен ако не са имали и други неща в предвид за които не се сещаме.
Така като гледам автора какъв коментар в боднал в ipt_owner.c
/* Kernel module to match various things tied to sockets associated with
locally generated outgoing packets. */
ги е подкарал наред тези things, т.е. няма лошо га има, лошо е га нема.
Знаем и за твоята утилка rname и обратно ще ти върна един тест, как ще се
изловиме ;-)
# ./rname -v kart /usr/bin/gnome-terminal
# pidof kart
10532
# pidof gnome-terminal
#
До тук вярваме, че си стартирал kart, а не gnome-terminal.
Обаче, ако се проверим, ще се хванем ;-).
Нека питаме ядрото:
# cat /proc/`pidof kart`/stat
10532 (gnome-terminal) S 7603 10532 7603 34840 10532 0 7321 30 609 0 165 24 0
0 15 0 2 0 3500640 32542720 3357 4294967295 134512640 134770762 3221224208
3221223696 1087114533 0 0 4096 66800 0 0 0 17 0 0 0
тука може да се рови защо изхода от ps e faked, но това е друга тема
Та си мисля, че ако админа не е наясно или не би се сетил, то ядрото е наясно
какви fake magics ги правим от user-space и тука вече не съм сигурен дали и
при --cmd-owner ще бидем изловени .. не ми се правят test cases или пък четат
netfilter kernel sources (няма да ги разбера де;-)
П.С. На Security course-a ще го изясните тфа... жалко, че поради разни причини
няма да мога да идвам на пърла. много неприятно.
--
pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|