Auf Port kleiner 1024 binden

[MuffiXXL]

Hi, ich versuch grade Tor auf Port 443 zu binden mit defaultuser _tor.
Ist

sysctl net.inet.ip.portrange.reservedhigh=0

das was ich will oder handle ich mir da Sicherheitsprobleme ein?

 

[bananenBrot]

Ich hab das sowieso nie verstanden mit < 1024 und > 1024.
Klar, Ports unter 1024 werden häufiger mit Anfragen überschwemmt, weil sie halt generell per Default durchgescannt werden aber wo ist denn mein Sicherheitsgewinn, wenn ich meine Dienste anstatt auf Port 443 auf 13456 binde?

 

[darktrym]

Eigentlich sollte nur der Root Ports < 1024 öffnen können und in der Regel sind die für irgendwelche (alten) Dienste reserviert.

 

[Flex6]

Es gibt verschiedenen Port-Bereiche und jeder Bereich erfüllt einen anderen Zweck, ein Bereich/e ist für Dienste reserviert, ein Bereich für Netzwerkverkehr und es gibt auch tabu Breiche also Bereiche die gesperrt sind. Das kann man alles unter IANA, und in der Datei /etc/services nachlesen.Es gibt im Handbuch von FreeBSD, glaube "Tuning und Limits" paar Zeilen zu dem Thema.
Gruß

 

[mark05]

Hi, ich versuch grade Tor auf Port 443 zu binden mit defaultuser _tor.
Ist

sysctl net.inet.ip.portrange.reservedhigh=0

das was ich will oder handle ich mir da Sicherheitsprobleme ein?

also tor zu binden auf einen anderen port sollte per parameter den
tor daemons oder clients gehen aber bestimmt nicht mit sysctl

holger

 

[MuffiXXL]

also tor zu binden auf einen anderen port sollte per parameter den
tor daemons oder clients gehen aber bestimmt nicht mit sysctl

holger

Ach nee, aber auf Ports unterhalb 1024 darf eben per default nur root binden und ich will Tor offensichtlich nicht als root laufen lassen.

 

[dettus]

Ich hab das sowieso nie verstanden mit < 1024 und > 1024.
Klar, Ports unter 1024 werden häufiger mit Anfragen überschwemmt, weil sie halt generell per Default durchgescannt werden aber wo ist denn mein Sicherheitsgewinn, wenn ich meine Dienste anstatt auf Port 443 auf 13456 binde?

ganz einfach, weil die <1024 von root kommen, und >1024 von usern.
damit ist es moeglich "trusted" server aufzubauen, und sicherzustellen dass nicht irgendein subversiver user einen passwortsniffer auf port 22 startet. (soweit die idee)

 

[mark05]

hi

naja technisch kann ich jeden dienst unter < 1023 listen lassen.

schau dir alleine mal bei openbsd die ganzen system dienste an die als nicht root
laufen und trozdem funktionieren .

z.b.
snmpd mit user _snmpd port udp 161
ftp-proxy user ftp-proxy port tcp 21
named user named port tcp / udp 53

holger

 

[Crest]

mark05:
[ ] ich weiss von ich rede
[ ] ich habe keine ahnung wovon ich rede

 

[Columbo0815]

Widerspricht sich das nicht, Crest?

 

[dettus]

@mark05:
diese dienste laufen als smpd und so weiter. damit sie nicht durch einen bug den account von root kompromittieren.

aber dennoch werden sie nicht von "normalen" usern gestartet.
du loggst dich nicht als sshd mit passwort ein um das zum laufen zu bringen, oder?

 

[KobRheTilla]

schau dir alleine mal bei openbsd die ganzen system dienste an die als nicht root
laufen und trozdem funktionieren .

Sie werden auf jeden Fall als root gestartet, dann wird an den Port gebunden, danach kommt ein setgid() + setuid() usw. damit der Dienst seine Privilegien verliert.

Rob

 

[metro]

Hi, ich versuch grade Tor auf Port 443 zu binden mit defaultuser _tor.
Ist

sysctl net.inet.ip.portrange.reservedhigh=0

das was ich will oder handle ich mir da Sicherheitsprobleme ein?

Ich persönlich würde drn net.inet.ip.portrange.reservedhigh sysctl *nicht* in der von dir vorgeschlagenen Form manipulieren.

pf/ipfw rdr ? oder Tor in einem Jail mit pf/ipfw rdr ?

oder eine noch andere Lösung :
man mac_portacl(4)

 

[mark05]

hi
ok ok , ich habe mich vieleicht falsch ausgedrueckt.

jeder user kann einen dienst unter port addr 1023 starten.

die rfc die die ports definieren bzw wie man sie handhabt stellen keinen
bezug zum user root her .

nur weil es gaengie praxis ist , ist es kein muss .

falls ich da einer rfc uebersehen haben sollte oder nicht kenne bitte posten

http://tools.ietf.org/html/rfc433
http://tools.ietf.org/html/rfc793
http://tools.ietf.org/html/rfc204
http://tools.ietf.org/html/rfc349

holger

 

[metro]

hi
[...]

jeder user kann einen dienst unter port addr 1023 starten.

die rfc die die ports definieren bzw wie man sie handhabt stellen keinen
bezug zum user root her .

nur weil es gaengie praxis ist , ist es kein muss .

holger

Einfach falsch. Sorry

 

[KobRheTilla]

hi
ok ok , ich habe mich vieleicht falsch ausgedrueckt.

jeder user kann einen dienst unter port addr 1023 starten.

rob@rob-d:~$ nc -l 127.0.0.1 80
nc: Permission denied

QED,
Rob

 

[mark05]

hi

toll und was soll mir das jetzt sagen mit dem nc
nur weil es nicht geht , was ja durchaus gewollt sein kann z.b. programm seitig ,
so bedeutet es nicht das es nicht gehen koennte per definition der rfcs her.

und wie schon gesagt ........ wenn es denn eine definition oder rfc gibt die genau
dieses verhalten beschreibt ist das ok , nur ich kenne sie nicht.

holger

 

[KobRheTilla]

hi
toll und was soll mir das jetzt sagen mit dem nc
nur weil es nicht geht , was ja durchaus gewollt sein kann z.b. programm seitig

Es ist vom OS her nicht erlaubt, nicht vom Programm:

#!/usr/bin/perl -w

use strict;
use Socket;

socket(SOCK, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
if(!bind(SOCK, sockaddr_in("80", INADDR_ANY)))
	{
	warn "bind: $!\n";
	}

close(SOCK);
exit(0);

Für das mal als user und als root aus.
Im ersten Fall wirst du eine Warnung bekommen.
Falls bei dir auf 80 schon was lauscht, nimm einfach ne andere Portnummer.

Rob

 

[mark05]

hi

nur damit man mich nicht missversteht , ich weiss das es so ist und schon immer sowar
mit den port < 1023 und root und warum und weshalb und sowieso .

jedoch habe ich mich nie damit beschaeftigt wo das mal definiert wurde in form eines
drafts oder rfc .

von daher , und von den rfc die ich kenne die das thema beinhalten habe ich nix gefunden
was einen bezug auf den user root schliessen laesst.

holger

 

[KobRheTilla]

jedoch habe ich mich nie damit beschaeftigt wo das mal definiert wurde in form eines drafts oder rfc .

Hmm, "root" ist auch zu betriebssystemlastig, als dass es in einen Standard einfließen kann. So wie ich das überblicke, wurde diese Einschränkung mit BSD eingeführt, insbesondere mit der BSD-Socket-API, die ja die Grundlage der TCP-APIs vieler Betriebssysteme stellt.

Heutzutage würde man sowas vielleicht nicht an root/uid 0 binden, sondern an etwas wie capabilities, vielleicht ist es auch schon so unter Linux.

Rob

 

[mark05]

Hmm, "root" ist auch zu betriebssystemlastig
Rob

stimmt schon , aber es weiss jeder was gemeint ist


holger

 

[mark05]

hi
also das ganze scheint ja eine lange history zu haben ....... habe mal nachgehackt .....

erstmals unter 4.2BSD ....... oh je ........ sowas kann man ja garnicht wissen so alt ist das

holger

 

[MuffiXXL]

@metro: Danke, sowas wie mac_portacl habe ich gesucht. Da werde ich mal etwas spielen.

@mark05: Danke fürs Hijacken des Threads ;-)

 

[MuffiXXL]

Heutzutage würde man sowas vielleicht nicht an root/uid 0 binden, sondern an etwas wie capabilities, vielleicht ist es auch schon so unter Linux.

Rob

Da ich das erst jetzt sehe verzeit mir den Doppelpost. Ja, unter Linux kann kam das heute mit capabilities machen.

 

[Yamagi]

Das geht unter FreeBSD auch mit dem MAC-Framework und dem Modul mac_portacl. Allerdings ist MAC relativ kompliziert und für Heimnutzer sowie kleinere Firmen völlig überdimensioniert, weshalb es in der Praxis nur wenig genutzt wird.