| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Дрон
Зарегистрирован: 18.05.2002
Сообщения: 57
Откуда: Москва
|
 Добавлено: Чт Янв 10 2002 19:06 Заголовок сообщения: ftp4all |
 |
|
| При запуске этого фтп, от имени не рута, система не дает ему вешаться на 21 порт, как нибудь можно это обойти? |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Чт Янв 10 2002 21:33 Заголовок сообщения: Ну а версию ОС кто будет указывать? |
|
|
| - |
|
| Вернуться к началу |
|
|
AlexanderK
Гость
|
| Добавлено: Пт Янв 11 2002 10:08 Заголовок сообщения: А что, в какой-то ОС не рут может сесть на порт |
|
|
| . |
|
| Вернуться к началу |
|
|
AlexanderK
Гость
|
| Добавлено: Пт Янв 11 2002 10:09 Заголовок сообщения: Пардон, глюки (+) |
|
|
| А что, в какой-то ОС не рут может сесть на порт |
|
| Вернуться к началу |
|
|
AlexanderK
Гость
|
| Добавлено: Пт Янв 11 2002 10:12 Заголовок сообщения: меньше 1024? (блин, ну слово меньше-то не вырежут?) (-) |
|
|
| . |
|
| Вернуться к началу |
|
|
Дрон
Зарегистрирован: 18.05.2002
Сообщения: 57
Откуда: Москва
|
| Добавлено: Пт Янв 11 2002 11:21 Заголовок сообщения: спасибо за очень информативные ответы -)) |
|
|
| Версия ОС - asplinux 7.x, я не знаю может ли в какой-нить ос не рут сесть на порт меньше 1024, меня интересует данная ос, и возможность обхода вышеописанной ситуации. Уж очень хочется, чтоб ftp запускался не от имени рута. Спасибо. |
|
| Вернуться к началу |
|
|
AlexanderK
Гость
|
| Добавлено: Пт Янв 11 2002 11:31 Заголовок сообщения: Mission inpossible (+) |
|
|
Если хочется безопасности - смотреть в сторону sandbox (ну или как там это в Линуксе).
Т.е. полная изоляция запущенного приложения в некоторой области с запретом выхода оттуда.
Во Фре есть еще jail.
Но надо смотреть именно в эту сторону. |
|
| Вернуться к началу |
|
|
Прохожий
Гость
|
| Добавлено: Пт Янв 11 2002 12:26 Заголовок сообщения: Re: ftp4all |
|
|
| Можно ftp поставить на другой машине внутри сети, тогда порты там и порты наружу можно связать так, как душе угодно... |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Янв 11 2002 13:33 Заголовок сообщения: А как насчет DOS и W'3.x/9x, где тоже есть IP-сервисы? :-) (empty) |
|
|
| (empty) |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Янв 11 2002 13:39 Заголовок сообщения: Если не от рута, то он не сможет авторизоваться |
|
|
Операцию смены озера может сделать только root (пароль он должен проверить сам) - так делают login из-под getty или telnetd, ftpd, sshd и все остальные. Чем тебе помешали рутовые правА у ftpd? он же все равно их скидывает и переходит в обычного юзера; а может еще и сделать chroot, заперев себя в директории (по умолчани. это делается для юзера "ftp"). |
|
| Вернуться к началу |
|
|
Дрон
Зарегистрирован: 18.05.2002
Сообщения: 57
Откуда: Москва
|
| Добавлено: Пт Янв 11 2002 14:33 Заголовок сообщения: у ftp4all своя база данных юзеров, не связанная с linux |
|
|
| поэтому, насколько я понимаю, root нужен только для того чтобы сделать bind с 21 портом. Хотя, если честно этот сервер меня уже достал и я окончательно запутался. Может посоветуете сервак под линух, где юзеры не связаны с линуховскими юзерами, и желательно такая вещь: если у юзера нет прав на какой-то каталог он его вообще не должен видеть |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Янв 11 2002 16:10 Заголовок сообщения: Re: спасибо за очень информативные ответы -)) |
|
|
linux.webclub.ru
Раздел Архив - Книги.
Дока "Безопасность и оптимизация RedHat"
Дока на русском. Там написано как сделать безопасный FTP |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://www.
Гость
|
| Добавлено: Пт Янв 11 2002 19:39 Заголовок сообщения: Права и юзеры |
|
|
Начнем с того, что каждому имени юзера кроме рароля ставятся в соответствие UID (User ID, число) и список GIDs (Group IDs), в которые юзер входит. Права доступа к файлу определяются по UID и GIDs (надеюсь, все знают, как).
Запустить сервис от имени любого юзера можно через inetd - inetd забиндит порт (он кROOTой) и запустит сервис от имени того, кого ему прикажут. А вот как ftpd получит доступ к файлу другого юзера, если не сможет перекинуться в этого юзера?
Право видеть каталог можно выставить.
А вот нежелание связываться с системными юзерами надо давить. Впрочем, в последнем FreeBSD появилась pam-авторизация, где юзеров можно брать откуда угодно...
Допустим |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
