[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[FDclone-users:00779] Query for network shell security

Subject: [FDclone-users:00779] Query for network shell security
From: Takashi SHIRAI <shirai@unixusers.net>
Date: Sat, 26 Apr 2008 04:07:13 +0900

　しらいです。

　FDclone 3.0 に network 機能を実装すべく只今βテスト中です
が、下記のようなページを見つけたのでセキュリティ的に対応策を
用意すべきかどうか懸案中です。
http://www.gnucitizen.org/blog/reverse-shell-with-bash/

　この例では bash がやり玉に挙がっているのですが、多分 shell
の標準的な機能だけを使って back door を構築することが容易に
実現出来てしまいます。
　尤も、他人の環境にその仕掛けを施すには既に何らかの前段階の
crack が必要なので、reverse shell を簡単に作れてしまうこと自
体が security hole という訳ではないのですが。

　bash と同様 FDclone 3.0 も同じことが実現可能なんですが、こ
れって FDclone 側で何か対策を講じておくべきなんでしょうかね？
するとしたらどうやって？
　cracker の片棒を担ぐのは嫌ですが、security を重視する余り
折角の機能の実用性が無くなってしまうのも悔しいので、一体どう
いった落しどころが適切なのか考えあぐねています。
　私自身 security 方面は余り明るくないので、みなさん何か良い
知恵があったらお聞かせ下さい。


P.S.
　bash の場合、configure 時に --disable-net-redirections を
付けて build すれば /dev/tcp が使えなくなります。
　FDclone の場合、config.h 内で #define _NOSOCKET して build
すれば connect:// や accept:// が使えなくなりますが、同時に
URL drive 機能も使えなくなります。

                                               しらい たかし

Follow-Ups:
- [FDclone-users:00780] Re: Query for network shell security
  - From: Takashi SHIRAI <shirai@unixusers.net>

Prev by Date: [FDclone-users:00778] Re: FDclone 2.09i has been released
Next by Date: [FDclone-users:00780] Re: Query for network shell security
Previous by thread: [FDclone-users:00777] FDclone 2.09i has been released
Next by thread: [FDclone-users:00780] Re: Query for network shell security
Index(es):
- Date
- Thread