Re: La programmazione sicura "dei poveri"

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

"Michele Albrigo" ..

>sei gia' root o non lo esegui. Per impedirti di scaricare roba pensavo 
>di filtrare il traffico in uscita in modo un po' bastardo (ad esempio 
>dicendo che l'utente del server web non puo' inizializzare nessuna 
>connessione)...

Per queste problematiche, su FreeBSD utilizzo il comando jail(8), che
permette di creare una jail cui assegnare un IP singolo che le
applicazioni ivi contenute possono utilizzare: sul firewall
indipendentemente dall'utente blocco le connessioni in uscita DA
quell'IP, a meno che non siano destinate a servizi *necessari* al
funzionamento delle applicazioni web presenti sul server (ad esempio un
RDBMS che ascolta su una porta TCP).

man jail per maggiori dettagli.

Per quanto riguarda gli eseguibili, beh, un chmod 700 in questo caso e`
piu` che sufficiente, inoltre nello specifico caso di apache mi par di
ricordare che l'unico processo che gira come root non ascolta su alcuna
porta TCP, bensi` si preoccupa semplicemente di gestire i processi
figli, e quindi da rete e` un po' dura da exploitare.

My .2, ciao :>.

- -- 
Marcello Barnaba - SoftMedia S.c.r.l.    ::    Mobile: +39 (320) 0703958
Via Cardassi, 36 - 70121 Bari            ::    Phone:  +39 (080) 5244111
pub 1024D/F04476A2 :: 6807 EEA5 7F97 AC9A D8EF  AE73 64CD 71A2 F044 76A2

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/vYwWZM1xovBEdqIRAj7pAJwKf3dsWhbsVEufOs7QbrFiUEwPkACgpaUk
DK98BROYFsByArw4NmGZFKo=
=PEL2
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List