[FDclone-users:00780] Re: Query for network shell security

[Takashi SHIRAI <shirai@unixusers.net>]

　しらいです。

In Message-Id <20080425190713.D4EBE480687@yuka.unixusers.net>
        Takashi SHIRAI <shirai@unixusers.net>writes:
> 　しらいです。

> 　FDclone 3.0 に network 機能を実装すべく只今βテスト中です
> が、下記のようなページを見つけたのでセキュリティ的に対応策を
> 用意すべきかどうか懸案中です。
> http://www.gnucitizen.org/blog/reverse-shell-with-bash/

　回答が貰えないようですけど、私なりに考えて socket redirect
機能のみを無効にするような識別子を用意してみましたので、β版
を更新しておきます。
	ftp://ftp.unixusers.net/src/beta/fdclone/


　program というものは所詮単なる道具に過ぎないので、書いたと
おりにしか動きません。良いも悪いも code 次第な訳です。なので
cracker が書いた script が悪意を持っていても当然なんです。
　ですから、bash や FDclone が back door を実現する手段を提
供しているからと言って、cracker がそれを利用するのを防ぐ手立
てはありません。

　でも、そういう便利な汎用コマンドが無ければ、cracker は侵入
先でわざわざ netcat とか色々ツールを用意する必要がある訳で、
その手間を省いてあげてるというのは何とも癪なんですよね。
　ならせめて、悪意ある script が走っている時にそれを簡単に知
ることの出来る枠組を用意しておけないかなと考えたのですが、な
かなか良いアイデアが思いつきませんでした。

　ということで、FDclone 3.00 を release した際には、そういっ
た cracker の脅威に晒されている server 環境では、FDclone を
build する際に _NOSOCKREDIR を定義することをお奨めします。
　でも余り強く奨めると、折角の便利な機能が無効になってしまう
ので、同梱 document で奨めるようなことはやめておきますけどね。


P.S.
　上のβテスト用 FTP directory には README があって簡単な説
明が載ってたんですが、HDD crash 時に一緒に無くなってしまいま
した。
　もうそろそろβテストも終わるので不要かとは思いますが、誰か
手元に保存しているようなら、送って貰えれば復活させておきます。

                                               しらい たかし