Re: SSH - použitý port (bezpečnost) - omluva za metaFAQ

[Tomas Rett]

Omlouvám se, ještě jednou bez Meta FAQ, porušil jsem pravidla konference a
citoval i MetFAQ řádek.

...

Tohle si musím prostudovat, CAP_NET_BIND_SERVICE je na mě moc silné kafe.
Můžete mi doporučit literaturu ? Já mám akorát Skočovského a z něj čerpám
poučení. Je jasné, že jsem se špatně vyjádřil ("connect ano").

Jinak moje obavy o bezpečnost ssh tento thread vcelku rozptýlil.

Podobný problém je u mě s portem 27004, kde nám běží licenční démon. Chtěl
jsem, aby bylo možno se z Internetu dostat do demilitarizované zóny, to
údajně možné je, ale dál už ne. Problém je obdobný jako s tím přihlašováním
pomocí ssh do práce (to je přes podobný port jako jsem uvedl v mailu,
nepamatuji si ho, musel bych se podívat do poznámek), lic.server běží mimo
DMZ.

Tomáš Rett


On 11/30/05, Jan Houstek <Jan.Houstek na mff.cuni.cz> wrote:
>
> Tomas Rett wrote:
> > Na port 22 se ale normální , neprivilegovaný uživatel  nemůže přihlásit,
> ne
> > ?!
>
> RTFM!
>
> Zalezi na tom, cemu rikate "prihlasit". bind() neudela, connect()
> pochopitelne ano. Jinak ta hranice je 1024 (1024 jiz neni
> privilegovany), ne 100, jak pisete jinde v tomto vlaknu (i kdyz tam v
> zasade netvrdite nic spatne, neb jste trefil inluzi).
>
> Jinak pro uplnost nutno poznamenat, ze schopnost bind() na nizky neni
> vazna na roota jako takoveho, ale na capabilitu CAP_NET_BIND_SERVICE,
> takze za urcitych podminek se to da delat i z nerootovskych procesu.
>
> -- Honza Houstek
>
>
--
Tomáš Rett, tel. 2 4403 2121
Negentropy Needs Maintenance