-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Leonardo Pinto wrote:
>Citando Thiago Macieira <[EMAIL PROTECTED]>:
>> O processo inicia como root, abre a porta e depois muda de UID.
>>
>> Veja o que acontece ao rodar como usuário comum:
>> $ /usr/sbin/httpd
>> (13)Permission denied: make_sock: could not bind to address [::]:80
>> (13)Permission denied: make_sock: could not bind to address 0.0.0.0:80
>
>Realmente há contradições nesse regulamento de segurança.
Não vejo.
>Primeiro tanto
> faz para o atacante, o serviço estar escutando numa porta privilegiada
> (< 1024) quanto numa porta alta, certo?!
Atacante = hacker externo tentando obter algum acesso à máquina?
Se é isso que você quer dizer, então concordo: pouco importa se a porta é
privilegiada ou não.
> Dentro de minha "ignorância",
> essa convenção serveria mais para especificar, normalizar e distinguir
> serviços mais comuns e antigos como http, smtp, pop, etc. O que estou
> querendo dizer e compreender melhor, é que quaisquer serviço seria
> melhor estar sendo executado como não root, e, principalmente os mais
> comuns (< 1024). Confere?! Então por que essa restrição IMPOSTA pelo
> kernel?
Porque reservam-se as portas baixas para processos iniciados pelo root.
Assim, garante-se que um serviço bem-conhecido só possa ser iniciado pelo
administrador da máquina.
Em uma estação multiusuário, um usuário comum não tem privilégio de rodar
um servidor de HTTP, DNS ou FTP. Em casos como DNS ou SMTP, simplesmente
não faz sentido rodar o serviço em outra porta.
- --
Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org
thiago.macieira (AT) trolltech.com Trolltech ASA
GPG: 0x6EF45358 | Sandakerveien 116,
E067 918B B660 DBD1 105C | NO-0402
966C 33F5 F005 6EF4 5358 | Oslo, Norway
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2.2 (GNU/Linux)
iD8DBQFEoYgKM/XwBW70U1gRAhq6AJ4+Mlp/0khY/de+LAfKx6GZ/3hUHACfdkKU
1+LRY35uIpNEAyPE4J7pF1c=
=LfBX
-----END PGP SIGNATURE-----
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
