Archiv verlassen und diese Seite im Standarddesign anzeigen : als normaler user etwas auf einem secure port laufen lassen (1-1024). Geht das?
Hi,
zweite Frage für heute: kann ich als normaler user etwas auf port 1-1024 hosten die ja eigentlich dem root vorbehalten sind. Möchte nämlich ungern die server dann als root ausführen (sicherheitsrisiko). Oder lässt sich das nicht umgehen? Und JA es muss einer der ports von 1-1024 sein...
MatzeG2002
11.10.05, 22:56
Hi,
zweite Frage für heute: kann ich als normaler user etwas auf port 1-1024 hosten die ja eigentlich dem root vorbehalten sind. Möchte nämlich ungern die server dann als root ausführen (sicherheitsrisiko). Oder lässt sich das nicht umgehen? Und JA es muss einer der ports von 1-1024 sein...
IMHO nein.
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j REDIRECT --to-port 8080
Hiermit leitest Du alles von Port 80 an den Port 8080. Und an diesen kannst Du Dein Programm als normaler User binden. ;-)
Aber beachte, lokale Requests werden nicht über diesen iptables Eintrag geleitet. Nur die wo von extern kommen!!!
Gruß Matthias
So ziemlich jede Server-Software hat das Feature den Benutzer zu wechseln, nachdem sie gestartet wurde. Funktioniert folgendermaßen:
-Programm wird als root gestartet
-Programm holt sich einen priviligierten Port
-Programm wechselt seine Nutzeridentität zu einem unpriviligierten Nutzer->kein Sicherheitsrisiko mehr
Das kann dein Server sicherlich auch (außer er ist selbstgebastelt), einfach mal in der Doku nachlesen.
juhu vielen lieben dank :D !!!
aber ist das denn auch richtig? Bin kein so toller iptables crack, aber bräuchte ich nicht das selbe auch noch für die eingehenden Pakete? oder betrifft die Rule jetzt beides, eingehende und ausgehende?!
MatzeG2002
11.10.05, 23:03
juhu vielen lieben dank :D !!!
aber ist das denn auch richtig? Bin kein so toller iptables crack, aber bräuchte ich nicht das selbe auch noch für die eingehenden Pakete? oder betrifft die Rule jetzt beides, eingehende und ausgehende?!
Outbound Connections haben immer einen Port > 1024 ;-)
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.