On Tuesday 19 October 2004 19:06, Peter Pentchev wrote: > On Tue, Oct 19, 2004 at 06:53:04PM +0300, George Danchev wrote: > > On Tuesday 19 October 2004 18:20, CIO wrote: > > > Здравейте > > > Възможна ли е следната защитна стена под Линукс > > > Например приложение порт към който да се свърже и хост > > > > > > Пример Кмайл порт 25 хост моето ИСП > > > > > > Идеята е да се предпазим от софтуер който примерно без мое знание > > > изпрати майл по разрешен от мен порт в случая 25 > > > > > > Тоест да не разреша порт 25 изобщо а да го разреша само за даден > > > софтуер. > > > > виж модула owner в man iptables, няколко са, но те интересуват: > > --pid-owner processid > > --cmd-owner name > > Е, добре де, оказа се, че имало :) Все пак да отбележа за протокола, че > според мен няма много смисъл от това :)
Просто въпроса беше такъв... иначе утотнението ти е уместно. Ами смисъла може да е следния ;-) има опции с които да се пазиш от другите (uid, gid, pid, sid) и такива с които да се пазиш сам от себе си (cmd), т.е. не от зли съ-потребители. Може би трябва това да се обясни в ман-страницата кое за какво може да се използва, освен ако не са имали и други неща в предвид за които не се сещаме. Така като гледам автора какъв коментар в боднал в ipt_owner.c /* Kernel module to match various things tied to sockets associated with locally generated outgoing packets. */ ги е подкарал наред тези things, т.е. няма лошо га има, лошо е га нема. Знаем и за твоята утилка rname и обратно ще ти върна един тест, как ще се изловиме ;-) # ./rname -v kart /usr/bin/gnome-terminal # pidof kart 10532 # pidof gnome-terminal # До тук вярваме, че си стартирал kart, а не gnome-terminal. Обаче, ако се проверим, ще се хванем ;-). Нека питаме ядрото: # cat /proc/`pidof kart`/stat 10532 (gnome-terminal) S 7603 10532 7603 34840 10532 0 7321 30 609 0 165 24 0 0 15 0 2 0 3500640 32542720 3357 4294967295 134512640 134770762 3221224208 3221223696 1087114533 0 0 4096 66800 0 0 0 17 0 0 0 тука може да се рови защо изхода от ps e faked, но това е друга тема Та си мисля, че ако админа не е наясно или не би се сетил, то ядрото е наясно какви fake magics ги правим от user-space и тука вече не съм сигурен дали и при --cmd-owner ще бидем изловени .. не ми се правят test cases или пък четат netfilter kernel sources (няма да ги разбера де;-) П.С. На Security course-a ще го изясните тфа... жалко, че поради разни причини няма да мога да идвам на пърла. много неприятно. -- pub 4096R/0E4BD0AB 2003-03-18 <keyserver.bu.edu ; pgp.mit.edu> fingerprint 1AE7 7C66 0A26 5BFF DF22 5D55 1C57 0C89 0E4B D0AB ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
