[MONK] wrote:in dem moment wo derjenige bei dir nen deamon oder sowas installieren kann, ist er sicherlich auch in der lage den iptables filter zu modifizieren ;)
Noe, nen "daemon" kann jeder User installieren. Nur wenn er auf Ports<1024 laufen soll oder auf anderweitig geschuetzte Ressourcen (devices/files) zugreifen soll sind Rootrechte noetig.
øxygen wrote:Was ein Unsinn. Wenn der Angreifer sowieso Rootrechte hat, kann er auch flugs ein iptables -F ausführen.
Das stimmt zwar, aber darum ging es gar nicht. Wenn der Angreifer Rootrechte hat kann er eh alles machen. Aber im Normalfall hat er die meist nicht sondern z.B. die Rechte des FTP- oder Webservers. Und nur darum ging es. Es ging um ZUSAETZLICHE Sicherheit. Entweder hast du gar nicht gelesen was ich geschrieben habe oder es nicht verstanden, ansonsten wuerdest du ja irgendwie begruenden koennen was an meiner Aussage "Unsinn" ist anstatt mit solchen inhaltslosen Gemeinplaetzen um dich zu werfen.
benu wrote:
Das stimmt zwar, aber darum ging es gar nicht. Wenn der Angreifer Rootrechte hat kann er eh alles machen. Aber im Normalfall hat er die meist nicht sondern z.B. die Rechte des FTP- oder Webservers. Und nur darum ging es. Es ging um ZUSAETZLICHE Sicherheit. Entweder hast du gar nicht gelesen was ich geschrieben habe oder es nicht verstanden, ansonsten wuerdest du ja irgendwie begruenden koennen was an meiner Aussage "Unsinn" ist anstatt mit solchen inhaltslosen Gemeinplaetzen um dich zu werfen.
Welche zusätzliche Sicherheit soll das bringen? Verhindern das ein User ein Port öffnen? Wohl kaum. Es macht dann nur mehr Arbeit.
dienste auf einem gehackten rechner zu installieren ist auch erst wirklich interessant wenn man rootrechte hat und entsprechende maßnahmen treffen kann um jene zu verstecken.
normal als user laufende dienste werden auch recht schnell von nicht so erfahrenen admins erkannt und lohnen den aufwand meist nicht.
ansonsten kann man auch ohne einen listenport ne menge unsinn mit der leitung anstellen ;)