iptables a ftp server na nestandardnim portu
Vitezslav Samel
samel na mail.cz
Pátek Leden 21 07:15:51 CET 2005
On Thu, Jan 20, 2005 at 07:13:34PM +0100, Milan Keršláger wrote:
> On Thu, Jan 20, 2005 at 05:52:47PM +0100, Dalibor Straka wrote:
> > On Thu, Jan 20, 2005 at 05:39:17PM +0100, Jan Houstek wrote:
> > >
> > > Pokud mate ty moduly staticky, tak vam funguji uplne stejne, jako
> > > kdybyste je u modularniho kernelu natahnul. Je to tedy dokonce jednodussi,
> > > i kdyz jako motivace k pouziti monolitickeho kernelu porad dost slabe :)
> > > Az na nekolik malo specialnich pripadu nemodularni kernel nicemu nepomuze
> > > a je to akorat osina v prdeli.
> > >
> > Nekteri administratori se domnivaji, ze je to zvyseni bezpecnosti.
>
> Na zavedeni modulu potrebujete roota. A kdyz ho uz mate, nikdo vam
> nezabrani modul do jadra zavest i pres to, ze jadro je zkompilovano bez
> podpory modulu (pripadne modifikovat jadro v pameti nebo proves reboot).
>
> Cili jako bezpecnostni opatreni je to uplne k prdu.
>
> Navic nepredate parametry, jak jsem zde jiz prezentoval (jako reseni
> problemu tazatele).
Nepredate je bezicimu nemodularnimu jadru, ale daji se predat pri bootu:
... ip_conntrack_ftp.ports=21,2121 ip_nat_ftp.ports=21,2121
(na jadrech 2.6; u rady 2.4 nevim, jestli to funguje taky)
Vita Samel
Další informace o konferenci Linux