Sshd Gatewayports
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Srpen 26 18:54:53 CEST 2004
On Sun, 22 Aug 2004, Jan Houstek wrote:
> Jo, tohle je trochu zrada, osobne prilis nechapu, proc je tohle
> zalezitost serveru a ne klienta (tj. ze by si klient nejakou
> dodatecnou volbou k ssh -R urcil, zda se na vzdalenem serveru ma
> poslouchat vsude, nebo jen na 127.0.0.1).
Protokol 1 to afaik neumi. Protokol 2 to uz asi umi, ale nejak se do
OpenSSH nikdo nenamahal naprogramovat, takze klient posila natvrdo
"127.0.0.1" a server na to stejne kasle a dava si tam hodnotu dle
sveho nastaveni. :P
> Rozhodne to neni kvuli bezpecnosti, protoze uzivatel se shellovym
> uctem si tu samou funkcionalitu dokaze zaridit i bez pomoci sshd.
Ono to je kvuli bezpecnosti. Ale vic kvuli bezpecnosti uzivatelu (kterym
by se na ten forwarding mohl pripojit nekdo jiny a zacit jim tam loupat
pernicek) nez kvuli bezpecnosti serveru (kteremu poslouchaci strana port
forwardingu nemuze nijak zvlast ublizit).
On Mon, 23 Aug 2004, Vlada Macek wrote:
> Jiste, pro vas trivka. Podle meho nazoru je soucasti zabezpeceni kazdeho
> systemu ztizeni nebo znemozneni pristupu crackerum pod urcitnou urovni
> schopnosti. [...]
Je treba se ovsem kriticky zamyslet nad tim, jak silne to opatreni je.
V danem pripade si myslim, ze to odradi akorat tak nejakou lamu, takze je
to takove opatreni, ze kdyz je, tak dobre, kdyz neni, taky dobre.
On Mon, 23 Aug 2004, Ing. Pavel PaJaSoft Janoušek wrote:
> No... a nebo taky skončí na tom, že není schopen dovolenými
> prostředky svůj kontext efektivního uživatele... - zrovna minulý týden
Neni schopen co? :)
On Mon, 23 Aug 2004, Vlada Macek wrote:
> Spravce chce dejme tomu z nejakych praktickych duvodu umoznit uzivatelum
> -L. Ale -R * uz ne, protoze uzivatele nemaji co poslouchat na siti,
> ktera jim nepatri.
Rekl bych, ze sit obecne spis ohrozuje moznost do ni navazovat spojeni,
nez v ni poslouchat (pomineme-li riziko, ze nekdo nekomu ukradne nejaky
poslouchaci port). Viz vyse.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux