sempre in tema di porte privilegiate

Da http://www.freebsd.org/releases/5.1R/relnotes-i386.html


It is now possible to specify the range of             ``privileged  
ports'' (TCP and UDP ports that require             superuser access to  
             bind(2) to).             The range is now specified with  
the net.inet.ip.portrange.reservedlow             and  
net.inet.ip.portrange.reservedhigh             sysctl variables,  
defaulting to the traditional UNIX             behavior. This feature  
is intended to help network             servers bind to traditionally  
privileged ports without             requiring superuser access.         
      ip(4) has more             details.


Il primo dubbio che mi viene in mente è la possibilità da parte di  
normali utenti di interferire con servizi critici. E' pur sempre vero  
che non tutti i servizi critici sono bindati su porte < 1024. E'  
altrettanto vero comunque che oggi il concetto di utente "normale" con  
shell su server X di produzione è abbastanza improbabile, semmai il  
problema si potrebbe porre in caso di compromissione remota.
Anche in questo caso comunque, ci sono tanti modi di rompere le uova  
nel paniere all'amministratore, quello delle porte mi sembra l'ultimo  
dei problemi.

Un meccanismo forse più interessante per bindare socket su porte  
privilegiate è systrace:
http://www.openbsd.org/cgi-bin/ 
man.cgi?query=systrace&apropos=0&sektion=0&manpath=OpenBSD+Current&arch= 
i386&format=html


Che ne pensate di queste due soluzioni per trattare il problema porte  
privilegiate?

f.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List