iptables+ssh

Peter Surda shurdeek na routehat.org
Pondělí Listopad 22 12:49:02 CET 2004


On Mon, Nov 22, 2004 at 10:04:17AM +0100, Zdenek SUTR Kaminski wrote:
> Je pravda, ze se v hackovani nevyznam, no smysl falsovani source adresy
> vidim jen v tom,ze bych chtel vyvolat DOS na nejakou sluzbu. Otazkou
> zustava, jestli muze non-root uzivatel falsovat zdrojovou adresu...
Pokial viem nemuze. Maximalne, ked to ma jadro povolene, si moze bindnut
nelokalnu adresu, mam vsak dojem, ze "connect" z nej aj tak nejde (je to
myslene na to, aby sa mohol spustit server aj ked je nejaky interfejs docasne
nepristupny). Raw pakety moze posielat len root, ostatni sa musia uspokojit s
"klasickymi" funkciami (socket, connect, send, ...) ktore su este aj dalej
obmedzene, napr. neroot si nemoze bindnut port mensi ako 1024 atd.

A ked ma uz "hacker" roota, tak si iptables moze zrusit.

OUTPUT sa vsak da vyuzit aj bezpecnostne zmyslupne, napriklad obmedzit
povoleny traffic na konkretne procesy pomocou -m owner, aj ked v tomto pripade
by som skor odporucal SE-Linux. Ja OUTPUT pouzivam na IP accounting.

> Z.K.
S pozdravom,

Peter Surda (Shurdeek) <shurdeek na routehat.org>, ICQ 10236103, +436505122023

-- 
                   Press every key to continue.


Další informace o konferenci Linux