Bezpečnost služeb pod rootem

xmms

  • ***
  • 151
    • Zobrazit profil
    • E-mail
Bezpečnost služeb pod rootem
« kdy: 15. 12. 2010, 16:21:43 »
Není mi jasné, proč spouštět služby typu apache, ftp a spoustu dalších pod rootem jenom proto, aby mohly běžet na svých portech 80 a 21. Co takhle spustit vsftpd pod běžným uživatelem na portu třeba 5000 a pomocí iptables jenom přesměrovat porty 21-->5000 ?
Bude to něčemu vadit? Pozná uživatel zvenku, že to je přesměrované?


Zopper

Re: Bezpečnost služeb pod rootem
« Odpověď #1 kdy: 15. 12. 2010, 16:30:33 »
AFAIK se ani apache pod rootem běžně nepouští, pustí se pod uživatelem nobody/http či co má vaše distribuce nastaveno. Root je ten, kdo má oprávnění na manipulaci s tímto démonem - určitě nechcete, aby mohl každý uživatel zastavovat a pouštět démony, jak se mu bude chtít.

x

Re: Bezpečnost služeb pod rootem
« Odpověď #2 kdy: 15. 12. 2010, 21:37:39 »
Protoze napr. http://e-articles.info/e/a/title/Privileged-Ports-of-a-UNIX-machine/

Ukolem vyvojaru systemu neni se dloubat v nose a soutezit o to kdo vymysli do pristi verze distribuce lepsi barvicky do menu, ale to, ze podobne aplikace se maji programovat tak, aby co nejdrive zahazovali opravneni, ktere nepotrebuji, tak jak se deje napr. v OpenSSH. Spoustu veci je nutne SPUSTIT pod rootem, to ale neznamena, ze pod nim musi BEZET.

A ty hratky s porty jsou jen totalni ztrata casu a snaha nutit uzivatele systemu k "oprave" problemu, co mel opravit vyvojar. Navic to stejne nicemu nepomuze. Znalemu utocniku je uplne fuk jestli pustis ftp na 21 nebo treba ABCDE. Jeho to prakticky nezastavi/nezdrzi a tobe to jen pridelava praci.