JR
А в чем разница между дать права на 443 и зароутить через иптейблз?
Разница в правах очевидно и в схеме работы
Size: a a a
2020 August 25
AS
А вот так делать не стоит
и всё же почему ?
E
как минимум в дебаге, когда ты смотришь что сервис не слушает 443, а по факту должен там быть. например
Действительно
E
Разница в правах очевидно и в схеме работы
Ноу шит шерлок. Вопрос в реальном аффекте на систему
E
Ну тип так и так у тебя сервис слушает на 443 и больше нигде
JR
и всё же почему ?
Отвечая на твой вопрос в зависимости от системы не пройдет cis раньше еще дыры были
VS
Отвечая на твой вопрос в зависимости от системы не пройдет cis раньше еще дыры были
Поставь, плз, запятые, а то я не понимаю этого потока сознания
JR
Ноу шит шерлок. Вопрос в реальном аффекте на систему
Реально у тебя приложение слушает привилегированный порт и чисто теоритически если есть в софте баг который можно заюзать для атаки то с привелигированым софтов риски выше
SP
Реально у тебя приложение слушает привилегированный порт и чисто теоритически если есть в софте баг который можно заюзать для атаки то с привелигированым софтов риски выше
чем выше?
JR
Поставь, плз, запятые, а то я не понимаю этого потока сознания
У нас не урок русского языка и русский мой не родной язык
SP
разница в правах - только возможность забиндить порт 443 и получать с него трафик.
в случае с iptables происходит ровно то же самое. порт де-факто забинден и трафик с него получается.
в случае с iptables происходит ровно то же самое. порт де-факто забинден и трафик с него получается.
VS
У нас не урок русского языка и русский мой не родной язык
У нас грамотное сообщество, уважающее язык, на котором говорят.
JR
разница в правах - только возможность забиндить порт 443 и получать с него трафик.
в случае с iptables происходит ровно то же самое. порт де-факто забинден и трафик с него получается.
в случае с iptables происходит ровно то же самое. порт де-факто забинден и трафик с него получается.
А то что у тебя через багу можно выполнить от рута что либо к примеру это в расчет не берем?
SP
А то что у тебя через багу можно выполнить от рута что либо к примеру это в расчет не берем?
через багу где? в cap_net_bind_service?
E
Реально у тебя приложение слушает привилегированный порт и чисто теоритически если есть в софте баг который можно заюзать для атаки то с привелигированым софтов риски выше
Эээ. Нет, оно так и так слушает
E
Шо через иптейблз шо напрямую
SP
cap_net_bind_service не дает рута. просто у рута есть cap_net_bind_service.
JR
через багу где? в cap_net_bind_service?
В приложение
SP
В приложение
окей. в приложении бага. у приложения есть cap_net_bind_service.
SP
где рут-то?