Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: Възможен ли е такъв FIREWALL


  • Subject: Re: lug-bg: Възможен ли е такъв FIREWALL
  • From: George Danchev <danchev@xxxxxxxxx>
  • Date: Tue, 19 Oct 2004 20:24:20 +0300

On Tuesday 19 October 2004 19:06, Peter Pentchev wrote:
> On Tue, Oct 19, 2004 at 06:53:04PM +0300, George Danchev wrote:
> > On Tuesday 19 October 2004 18:20, CIO wrote:
> > > Здравейте
> > > Възможна ли е следната защитна стена под Линукс
> > > Например приложение порт към който да се свърже и хост
> > >
> > > Пример Кмайл порт 25 хост моето ИСП
> > >
> > > Идеята е да се предпазим от софтуер който примерно без мое знание
> > > изпрати майл по разрешен от мен порт в случая 25
> > >
> > > Тоест да не разреша порт 25 изобщо а да го разреша само за даден
> > > софтуер.
> >
> > виж модула owner в man iptables, няколко са, но те интересуват:
> > --pid-owner processid
> > --cmd-owner name
>
> Е, добре де, оказа се, че имало :)  Все пак да отбележа за протокола, че
> според мен няма много смисъл от това :)

Просто въпроса беше такъв... иначе утотнението ти е уместно. 
Ами смисъла може да е следния ;-) 
има опции с които да се пазиш от другите (uid, gid, pid, sid) и такива с които 
да се пазиш сам от себе си (cmd), т.е. не от зли съ-потребители. 
Може би трябва това да се обясни в ман-страницата кое за какво може да се 
използва, освен ако не са имали и други неща в предвид за които не се сещаме.
Така като гледам автора какъв коментар в боднал в ipt_owner.c 
/* Kernel module to match various things tied to sockets associated with
   locally generated outgoing packets. */
ги е подкарал наред тези things, т.е. няма лошо га има, лошо е га нема.

Знаем и за твоята утилка rname и обратно ще ти върна един тест, как ще се 
изловиме ;-)

# ./rname -v kart /usr/bin/gnome-terminal

# pidof kart
10532
# pidof gnome-terminal

#                      

До тук вярваме, че си стартирал kart, а не gnome-terminal.
Обаче, ако се проверим, ще се хванем ;-). 
Нека питаме ядрото:
# cat /proc/`pidof kart`/stat
10532 (gnome-terminal) S 7603 10532 7603 34840 10532 0 7321 30 609 0 165 24 0 
0 15 0 2 0 3500640 32542720 3357 4294967295 134512640 134770762 3221224208 
3221223696 1087114533 0 0 4096 66800 0 0 0 17 0 0 0

тука може да се рови защо изхода от ps e faked, но това е друга тема

Та си мисля, че ако админа не е наясно или не би се сетил, то ядрото е наясно 
какви fake magics ги правим от user-space и тука вече не съм сигурен дали и 
при --cmd-owner ще бидем изловени .. не ми се правят test cases или пък четат 
netfilter kernel sources (няма да ги разбера де;-)

П.С. На Security course-a ще го изясните тфа... жалко, че поради разни причини 
няма да мога да идвам на пърла. много неприятно.

-- 
pub 4096R/0E4BD0AB  2003-03-18  <keyserver.bu.edu ; pgp.mit.edu>
fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB 
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.