On Mon, Oct 20, 2003 at 07:03:36PM +0300, fram ursul polar wrote: > si evident poate oricand sa mounteze cu noexec /tmp si /home > dar si atunci useru malefic poate sa-si faca sshd_config si keyurile in > home si sa execute sshdul din /usr/sbin > -> chmod o-x /usr/sbin/sshd dar asta s-ar putea sa saboteze privilege > separationu > saaau tot din iptables un allow cu owner --cmd-owner sshd -p tcp --sport > 22 -j allow ca sa allow sshdul "privilegiat" > si eventual si allow la output pt cmd-owner ssh ca sa se poata da cu ssh > in afara :)
Si, daca e sa o tinem to asa, ssh este doar unul dintre multele aplicatii pe baza carora cineva poate sa intre din exterior pe un port neprivilegiat (VNC). Si ce e cel mai dragut e ca poti sa te joci si cu ssh (-L) si sa forwardezi un port local chiar si in conditiile in care masina nu are acces direct la Internet ci este in spatele unui firewall... Si atunci nici macar nu iti trebuie sshd, telnet e suficient.. Sebastian --- Detalii despre listele noastre de mail: http://www.lug.ro/
