On Thu, 21 Sep 2000, Alberto Brealey wrote:
> On Thu, Sep 21, 2000 at 09:52:35AM -0800, [EMAIL PROTECTED] wrote:
> > porque no le aplica reglas de ipchains y ya en vez de enjaularlo ?
>
> creo que el objetivo de enjaular los demonios es minimizar el impacto de un
> exploit que deje al atacante con algUn privilegio que no deberIa tener: por
> ejemplo bind8 tiene un exploit de root en versiones anteriores a la 8.2-algo
> (no recuerdo ahora), si alguien se gana el root asI, solo puede hacer
> desmadres en ese jail, entonces no compromete nada mas, ni siquiera el
> passwd de root en la mAquina estA en el jail. que alguien me diga si me
> equivoco, pero este tipo de protecciOn no se puede obtener con ipchains o un
> fw (con esto se dejan o no pasar paquetes, pero no se sabe si esos paquetes
> llevan un exploit).
>
> beto
Exactamente, ese es el punto. Una debilidad del DNS no tiene que ser una
debilidad del servidor como tal, si enjaulamos el servicio. EN lo
personal, me gusta tener casi todos los servicios que admitan
"enjaulamiento" enjaulados...vaya redaccion...:) Y creo que es una buena
practica para cualquier administrador de sistemas hacerlo asi.
JImmy
--
�Desea desuscribirse? Escriba a [EMAIL PROTECTED] con
el tema "unsubscribe".
