LINUX.ORG.RU
ФорумSecurity

Прозрачная для служб и программ авторизация на доступ к порту

 , , , ,


0

1

Представьте себе мир, где служба, которая ничего не умеет в плане секурности и вот этого всего, просто стартует и начинает слушать на порту.
А админ настроил операционку так, что перед подключением на этот порт внешнего пользователя надо сначала «залогиниться» на этом порту, либо вручную через телнет/ссш, либо просто послав ключ/пароль как начальные данные(тут возможны разные сценарии).
А дальше «программа-привратник» либо самоустраняется из потока данных либо данные проходят через неё без какого-либо оверхеда.

Такое ведь наверняка уже есть. Как настроить в линуксе?

★★★★★
Исключает ли защита от копирования самописный код?
Звездный час Linux, возможно, и настанет
Ответ на: комментарий от V1KT0P

port knocking имеет примерно никакое отношение к безопасности. security by obscurity.

я бы предложил обратный прокси с авторизацией на выбор.

aol ★★★★★
()
Последнее исправление: aol (всего исправлений: 2)
Ответ на: комментарий от aol

Все прокси в основном ориентированы на HTTP и тому подобные протоколы. Ну и они полюбасу добавляют какой-то оверхед(пусть и небольшой).

А тут идея вроде как на поверхности лежит.
Сейчас вот каждый сервис изобретает свой велосипед по «авторизации»/«логинпаролированию» и т.д., а админы настраивают конфиги этого всего.
А так была бы на уровне системы такая служба, реализованная скорее всего как модуль ядра(интегрированная с iptables и вот этим всем) с единым местом и форматом конфигурации.
Это ж явное упрощение жизни для всех бы было.

Bad_ptr ★★★★★
() автор топика
Последнее исправление: Bad_ptr (всего исправлений: 1)
Ответ на: комментарий от aol

port knocking имеет примерно никакое отношение к безопасности.

Никто не мешает генерировать последовательность портов на основе времени, например взять тот-же TOTP и на основе его значения получать новую последовательность портов.

V1KT0P ★★
()
Ответ на: комментарий от V1KT0P

Тут проблема в другом — вот постучал ты по портам, и в ответ на это запустилась служба или команда открыла порт ДЛЯ ВСЕХ ЖЕЛАЮЩИХ.
Либо приёмник «стука» должен авторизовать «стукача» по ипишнику/логин-паролю внести в базу, чтобы потом фильтр установленный на целевой порт только этого «стукача» пропускал.
И вот в организации этого «фильтра» и есть вопрос.

Bad_ptr ★★★★★
() автор топика
Последнее исправление: Bad_ptr (всего исправлений: 1)
Ответ на: комментарий от Bad_ptr

Тут проблема в другом — вот постучал ты по портам, и в ответ на это запустилась служба или команда открыла порт ДЛЯ ВСЕХ ЖЕЛАЮЩИХ.

Нет, оно открывает именно для того IP адреса который правильно последовательность послал(и вот тут если у злоумышленника есть возможность подменить IP тогда он может воспользоваться открытым портом после его открытия). Но обычно его используют не для авторизации, а для скрытия чтоб сканирование не обнаружило эти порты, так например прячут ssh даже если он работает по ключу.

V1KT0P ★★
()

Ты сейчас описал kerbros+TLS. Как настроить — ну ищи литературу :-)

Проблема в том, что это редко кому нужно, поскольку сервер заинтересуется не только самим фактом, что пользователю можно подключаться, но и фактом того, а какой это пользователь. И вот для этого уже у каждой программы свой велосипед, включая тот же kerberos.

Aceler ★★★★★
()
Ответ на: комментарий от Bad_ptr

А так была бы на уровне системы такая служба <…> с единым местом и форматом конфигурации.

Ну, Kerberos придумали 40 лет назад. Упрощение жизни он даёт, кто бы спорил.

Aceler ★★★★★
()
Ответ на: комментарий от Bad_ptr

Все прокси в основном

Ну, может, озаботиться немного поиском по теме, а не такими голословными утверждениями?

Хотя… Да ну, бред какой-то. Продолжай! 😆

aol ★★★★★
()
Исключает ли защита от копирования самописный код?
Security
Звездный час Linux, возможно, и настанет