hide_n@catvmics.ne.jp
Nakane Hidenobu
ヒデノブと申します。
NFSを特権ポート上でサービスさせる方法について、教えて頂きたく投稿させて
頂きました。
#質問するグループが適切ではないかもしれませんが、
#その場合には、ご容赦ください。
対象OSはSunOS 2.5 ,5.8です。
セキュリティ対策のため、強制的に特権ポートに固定したいのですが、
オプションがみつかりません。
AIX 4.2.1 と 4.3 では、nfso -o nfs_use_reserved_ports=1
というオプションがあるそうですが、SunのNFSでは、可能なのでしょうか。
可能だという情報は、噂で聞いたのですが見つかりません。
ご教授ください。
よろしくお願いします。
Nakane Hidenobu
件名にメールアドレスを記述してしまいました。
失礼しました。
Yasushi Shinjo
In article <bhj3s2$g2o$1...@localhost.localdomain>
"Nakane Hidenobu" <hid...@catvmics.ne.jp> writes:
> セキュリティ対策のため、強制的に特権ポートに固定したいのですが、
> オプションがみつかりません。
たしかに、マニュアルにはないですね。無理かもしれませんね。
Sun のマニュアルは、しっかりしているので。Linux とかけっこう
ボロボロ。マニュアルに載っていない機能があったりしますし。
Sun の場合、2048 を使おうとする癖はあるみたいだから、それを
利用するんですかね。システム起動時に、一般ユーザがまだプロセ
スを作る前に、2048 をしっかり握ってはなさないと。
一度離すと、たしかに危ないですね。
クライアントが特権ポートかどうかのチェックは、mountd でやっ
ているみたいだけど。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
MAEDA Atusi
> In article <bhj3s2$g2o$1...@localhost.localdomain>
> "Nakane Hidenobu" <hid...@catvmics.ne.jp> writes:
> > セキュリティ対策のため、強制的に特権ポートに固定したいのですが、
> > オプションがみつかりません。
> 一度離すと、たしかに危ないですね。
>
> クライアントが特権ポートかどうかのチェックは、mountd でやっ
> ているみたいだけど。
ええと,特権ポートを使うと,どう安全になるんでしょう?
通常の2049では,なにか欠陥があるんでしょうか?
前田敦司
Yasushi Shinjo
In article <m365kuf...@maedapc.cc.tsukuba.ac.jp>
MAEDA Atusi <ma...@cc.tsukuba.ac.jp> writes:
> ええと,特権ポートを使うと,どう安全になるんでしょう?
NFS サーバが動作しているホストの root 権限がきちんと管理され
ているというのが、大前提(そもそもこの前提がないと NFS は使っ
てはいけない)ですが、その前提が成り立っている時、
特権ポートを使っていれば、NFS サーバが root 権限で動いている
ということが保証できます。
> 通常の2049では,なにか欠陥があるんでしょうか?
一般ユーザが偽物の NFS サーバを挙げることができます。それで、
他人の電子メールのファイルが write されるのを待って盗むとい
うことができます。
MAEDA Atusi
> 新城@筑波大学情報です。こんにちは。
>
> In article <m365kuf...@maedapc.cc.tsukuba.ac.jp>
> MAEDA Atusi <ma...@cc.tsukuba.ac.jp> writes:
> > ええと,特権ポートを使うと,どう安全になるんでしょう?
(略)
> 特権ポートを使っていれば、NFS サーバが root 権限で動いている
>
> ということが保証できます。
>
> > 通常の2049では,なにか欠陥があるんでしょうか?
>
> 一般ユーザが偽物の NFS サーバを挙げることができます。それで、
> 他人の電子メールのファイルが write されるのを待って盗むとい
> うことができます。
ええと,「すでに悪意あるユーザがサーバに侵入している場合」と言うことで
すか? Unixの場合,ローカルユーザは結構悪いことをいろいろできちゃうの
で(DoS攻撃は防ぎようがない),普通のセキュリティでいえば,「もうすでに
負けている」段階ですけど,「学生のいたずらを防ぐため」とかならありそう
ですね.
NFSクライアントはportmapper経由でポート番号を得ますよね.これをやめて,
クライアント側でも直接ポート番号を指定するということでしょうか.その場
合,mountdのポート番号はどうするんでしょう.(このあたり,良く知らない
のですが.)
> 一般ユーザが偽物の NFS サーバを挙げることができます。それで、
> 他人の電子メールのファイルが write されるのを待って盗むとい
> うことができます。
偽物サーバは,ユーザしか読み書きできないパーミーッションのファイルを
(本当には)アクセスできないんですよね.電子メールのファイルを書く前に,
電子メールのファイルを読もうとしたり,他のファイルを書こうとしたらバレ
ちゃいますね.
前田敦司
Yasushi Shinjo
In article <m3lltpd...@maedapc.cc.tsukuba.ac.jp>
MAEDA Atusi <ma...@cc.tsukuba.ac.jp> writes:
> ええと,「すでに悪意あるユーザがサーバに侵入している場合」と言うことで
> すか? Unixの場合,ローカルユーザは結構悪いことをいろいろできちゃうの
> で(DoS攻撃は防ぎようがない),普通のセキュリティでいえば,「もうすでに
> 負けている」段階ですけど,「学生のいたずらを防ぐため」とかならありそう
> ですね.
NFS サーバにも、一般ユーザがログイン可能という前提です。敷居
をあげることは、意味はあります。敷居が低いと、一般ユーザが悪
の道に道に走ってしまうけれど、敷居が高ければ走らないというこ
とはあります。
> NFSクライアントはportmapper経由でポート番号を得ますよね.これをやめて,
> クライアント側でも直接ポート番号を指定するということでしょうか.その場
> 合,mountdのポート番号はどうするんでしょう.
今の話は、NFS のサーバ側のポート番号を特権ポート番号にしたい
ということなので、特権ポートを得た後は、やはり portmapper に
登録するのでしょう。
mountd がしていることは、アクセス・ポイントのファイル・ハン
ドル(オブジェクト識別子)を返すだけです。NFSサーバのポート番
号は、返していません。NFS サーバのポート番号と mountd は、関
係ありません。
/usr/include/rpcsvc/mount.x
------------------------------------------------------------
union fhstatus switch (unsigned fhs_status) {
case 0:
fhandle fhs_fhandle;
default:
void;
};
fhstatus
MOUNTPROC_MNT(dirpath) = 1;
------------------------------------------------------------
RPC のプログラミングのテクニックですが、portmapper を通らな
いでポート番号を指定することはできます。具体的には、サーバ側
では、bind したソケットを svcudp_create() に渡します。クライ
アント側では、clntudp_create() で、第1引数にサーバのIPア
ドレスとポート番号を保存した struct sockaddr_in を渡します。
サーバ側で NFS サーバのポート番号を portmapper に登録しなく
ても、片っ端から試していけばいいので、安全性はそんなには上が
らないのでしょうね。
> > 一般ユーザが偽物の NFS サーバを挙げることができます。それで、
> > 他人の電子メールのファイルが write されるのを待って盗むとい
> > うことができます。
> 偽物サーバは,ユーザしか読み書きできないパーミーッションのファイルを
> (本当には)アクセスできないんですよね.電子メールのファイルを書く前に,
> 電子メールのファイルを読もうとしたり,他のファイルを書こうとしたらバレ
> ちゃいますね.
はい。ファイルが存在しない時に、これはどうも NFS サーバが乗っ
取られているらしいとにらんで、追跡調査する能力があれば、気が
付きます。自分でファイルを消したと思って、もう一度最初から設
定し直して、電子メールを読みに行くようだと気が付かないでしょう。
MAEDA Atusi
> NFS サーバにも、一般ユーザがログイン可能という前提です。敷居
> をあげることは、意味はあります。敷居が低いと、一般ユーザが悪
> の道に道に走ってしまうけれど、敷居が高ければ走らないというこ
> とはあります。
「NFSサーバに一般ユーザをログインさせない」方が手っ取り早いと思います
が,まあ,そういう前提で話をしましょう.
皆がログインできるNFSサーバで,(例えば)ポート番号2049のnfsdが
portmapperに登録された後,nfsdが死んでしまうと,一般ユーザが2049ポート
をbindする偽のNFSサーバを立ち上げて,クライアントからの要求を受けとる
ことが出来る,と.
(問題はどうやって本物のnfsdを殺すか,かな…
詳しい人に聞いたところ,「別のポートをnfsdをportmapperに登録し直す」こ
とはスーパーユーザでないとできないそうです.)
> mountd がしていることは、アクセス・ポイントのファイル・ハン
> ドル(オブジェクト識別子)を返すだけです。NFSサーバのポート番
> 号は、返していません。NFS サーバのポート番号と mountd は、関
> 係ありません。
なるほど.mountdだけ乗っ取っても意味はないんですね.(両方乗っ取らない
といけないのかな.)
> RPC のプログラミングのテクニックですが、portmapper を通らな
> いでポート番号を指定することはできます。具体的には、サーバ側
> では、bind したソケットを svcudp_create() に渡します。クライ
> アント側では、clntudp_create() で、第1引数にサーバのIPア
> ドレスとポート番号を保存した struct sockaddr_in を渡します。
>
> サーバ側で NFS サーバのポート番号を portmapper に登録しなく
> ても、片っ端から試していけばいいので、安全性はそんなには上が
> らないのでしょうね。
いや,そうではなくて,
「portmapperから返されたポートが特権ポートかどうかチェックする」ように
NFSクライアントを改造するよりは,
「portmapperに聞かずに,あらかじめ決めておいた特権ポートに直接つなぎに
いく」ようにNFSクライアントにオプションを与えるほうが簡単だろうと思っ
たのです.
Linuxの(あてにならない)マニュアルでは,port=nマウントオプションでこの
指定ができるとあります.デフォルトでは「portmapperに尋ね,登録されてい
なければ2049を使う」そうです.(Vine 2.6CR, RedHat 7.2)
SunのNFSクライアントにも同様のマウントオプションがあります.
元の質問者の方もSunのサーバ側の「オプション」をお尋ねでしたし,プログ
ラムの改造までは考えてらっしゃらないんじゃないかと.
> はい。ファイルが存在しない時に、これはどうも NFS サーバが乗っ
> 取られているらしいとにらんで、追跡調査する能力があれば、気が
> 付きます。自分でファイルを消したと思って、もう一度最初から設
> 定し直して、電子メールを読みに行くようだと気が付かないでしょう。
このいたずらがすぐにバレないようにするのはなかなか難しいですね.
「目的のファイルが書かれるまでじっと本物のふりをする」とかできれば良い
ですけど,「本物のふり」が全然できないから.
前田敦司
ish
/etc/system に
set nfssrv:nfs_portmon=1
と記述しては如何でしょうか。
-- ish
"Nakane Hidenobu" <hid...@catvmics.ne.jp> wrote in message news:<bhj40g$g2p$1...@localhost.localdomain>...
Nakane Hidenobu
こんばんわ
検証してみます。
ありがとうございます。
以上
"ish" <ish_...@yahoo.co.jp> wrote in message
news:bfcc1b3.03082...@posting.google.com...
Nakane Hidenobu
ヒデノブです。
セキュリティ的に深いご意見いただきましてありがとうございます。
この質問をしたのは、NFSサービスをどうしても(システム上)
F/Wごしに公開したいというユーザがいたのが発端です。
そものそもF/WごしにNFSをこう開始するのはどうかと思いますが
ISS社の Internet Scannerで検査した結果 NFSのを特権ポートで
動かせと指摘されました。
NFSの予約ポート2049だと思うのですがなぜか検査するたびに
サービスportがランダムに変わっていました。
http://jp.sun.com/solaris/wp/NFS/webnfs2.html
上記URLからSunには
サーバ側のportmapperが 2049を使用するようクライアントに
返すオプションがあると思いました。
上記のこと事態がRPCを理解していないと言われれそうですが
以上
Yasushi Shinjo
In article <m3zni4b...@maedapc.cc.tsukuba.ac.jp>
MAEDA Atusi <ma...@cc.tsukuba.ac.jp> writes:
> 皆がログインできるNFSサーバで,(例えば)ポート番号2049のnfsdが
> portmapperに登録された後,nfsdが死んでしまうと,一般ユーザが2049ポート
> をbindする偽のNFSサーバを立ち上げて,クライアントからの要求を受けとる
> ことが出来る,と.
実は、殺さなくてもいいという話もありまして、、、、
> (問題はどうやって本物のnfsdを殺すか,かな…
> 詳しい人に聞いたところ,「別のポートをnfsdをportmapperに登録し直す」こ
> とはスーパーユーザでないとできないそうです.)
一応、それはそうなんだけど、・・・(以下省略。)
> いや,そうではなくて,
> 「portmapperから返されたポートが特権ポートかどうかチェックする」ように
> NFSクライアントを改造するよりは,
> 「portmapperに聞かずに,あらかじめ決めておいた特権ポートに直接つなぎに
> いく」ようにNFSクライアントにオプションを与えるほうが簡単だろうと思っ
> たのです.
NFSサーバが利用するポートを、特定の特権ポートに固定できれば
ね。Solaris だと、これができなさそう。
NFS に限らず、RPC でもポート番号を固定した方が、パケット・フィ
ルタで防御するのが簡単になるんだけどなあ。それでもなんとかし
たいという場合には、RPC 対応の SysGuard とか。
新城 靖, 中田 吉法, 板野 肯三: "システム・コール・レベルでの
RPCに対するアクセス制御の強化",情報処理学会研究会報告
2001-OS-90-13, pp.95-102 (2002年6月27日).
http://www.ipsj.or.jp/members/SIGNotes/Jpn/07/2002/090/article013.html
なんか、学会のページのタイトルがおかしいなあ。RPCが飛んじゃってる。
> 元の質問者の方もSunのサーバ側の「オプション」をお尋ねでしたし,プログ
> ラムの改造までは考えてらっしゃらないんじゃないかと.
Sun の nfsd は、ソースが公開されていないので、一般には改造は
無理です。Linux のものを持ってきても残念ながら動かないでしょ
う。nfsd は、ps で見えるのですが、ほとんどの活動はカーネルの
中です。
> > はい。ファイルが存在しない時に、これはどうも NFS サーバが乗っ
> > 取られているらしいとにらんで、追跡調査する能力があれば、気が
> > 付きます。自分でファイルを消したと思って、もう一度最初から設
> > 定し直して、電子メールを読みに行くようだと気が付かないでしょう。
>
> このいたずらがすぐにバレないようにするのはなかなか難しいですね.
> 「目的のファイルが書かれるまでじっと本物のふりをする」とかできれば良い
> ですけど,「本物のふり」が全然できないから.
私は、NFS サーバを作ったことがありますが、C言語で 2789 行で
できました。ちゃんと本物のクライアントからマウントできました。
偽装するには、これに次のような機能を付けるといいですかね。
・何か lookup されたら、あることにして返す。
・ファイルに write された、受け取る。
・ファイルに read されたら、write された内容があればそれを返す。
・ディレクトリに readdir されたら、今まで知っている名前を並べて返す。
MAEDA Atusi
> /etc/system に
> set nfssrv:nfs_portmon=1
> と記述しては如何でしょうか。
これは「特権ポートを使うクライアントだけに接続を許す」という設定ですよ
ね.今の話題は,「サーバが特権ポートを使うようにする」という話です.
前田敦司
MAEDA Atusi
> 実は、殺さなくてもいいという話もありまして、、、、
>
> > (問題はどうやって本物のnfsdを殺すか,かな…
> > 詳しい人に聞いたところ,「別のポートをnfsdをportmapperに登録し直す」こ
> > とはスーパーユーザでないとできないそうです.)
>
> 一応、それはそうなんだけど、・・・(以下省略。)
良く分かりませんが,想像するに,やっぱり「一般ユーザがログインできるマ
シンで,NFSでファイル共有してはいけない」ということかな.
> NFS に限らず、RPC でもポート番号を固定した方が、パケット・フィ
> ルタで防御するのが簡単になるんだけどなあ。それでもなんとかし
> たいという場合には、RPC 対応の SysGuard とか。
>
> 新城 靖, 中田 吉法, 板野 肯三: "システム・コール・レベルでの
> RPCに対するアクセス制御の強化",情報処理学会研究会報告
> 2001-OS-90-13, pp.95-102 (2002年6月27日).
> http://www.ipsj.or.jp/members/SIGNotes/Jpn/07/2002/090/article013.html
Secure NFS via SSH tunnelなんてのもあるようです.
http://www.math.ualberta.ca/imaging/snfs/
元の質問者の方の用途には,これが適しているかも.
"Nakane Hidenobu" <hid...@catvmics.ne.jp> writes:
> この質問をしたのは、NFSサービスをどうしても(システム上)
> F/Wごしに公開したいというユーザがいたのが発端です。
> そものそもF/WごしにNFSをこう開始するのはどうかと思いますが
おっしゃる通り,いろいろと問題があると思います.
> ISS社の Internet Scannerで検査した結果 NFSのを特権ポートで
> 動かせと指摘されました。
この前提で,どのようにセキュリティ向上に貢献するのか良く分からないです
が… ポートを固定せよということかな?
もし上のSNFSが使えるなら,そっちの方がベターだと思います.
前田敦司
Yasushi Shinjo
In article <m3ptizb...@maedapc.cc.tsukuba.ac.jp>
MAEDA Atusi <ma...@cc.tsukuba.ac.jp> writes:
> 良く分かりませんが,想像するに,やっぱり「一般ユーザがログインできるマ
> シンで,NFSでファイル共有してはいけない」ということかな.
私なら、即座にそういう結論にはしません。というのも、NFS の安
全性を追求しだすと、クライアントの root を守るのが必須になる
ので、サーバだけ守ってもしょうがないからです。
じゃあ、NFS より CIFS の Windows が安全だと言いたくなりそう
な人がいるかもしれませんが、そうでもありません。Windows も、
クライアント側の Administrator 権限が取られると、Logon のダ
イアログ・ウインドウを書き換えられてパスワードが収集できます。
結局、Windows でも、クライアントの Administrator 権限を守る
のは必須になります。これは、NFS の root を守るのと同じ話です。
それで、NFS のクライアントの root を守るのと、サーバの root
を守るのとは、そんなに質的な差はないかなあということです。
> > ISS社の Internet Scannerで検査した結果 NFSのを特権ポートで
> > 動かせと指摘されました。
>
> この前提で,どのようにセキュリティ向上に貢献するのか良く分からないです
> が… ポートを固定せよということかな?
たしかに。ポート番号を固定することは意味があるのでしょうが、
「特権ポート」という話には、さほど意味があるとは思えません。
その、「Internet Scanner」の警告を減らしたかったんじゃないか
なあ。警告を減らすのは、大事な情報を見落さないようにすること
に大事なことではあるのですが、それなら、「Internet Scanner」
の方を直すという手もあります。
> Secure NFS via SSH tunnelなんてのもあるようです.
> http://www.math.ualberta.ca/imaging/snfs/
> 元の質問者の方の用途には,これが適しているかも.
あとは、普通に VPN を張ってやるか。
> もし上のSNFSが使えるなら,そっちの方がベターだと思います.
SSH のトンネルや、あと NAT を使うと、NFS のホスト単位のアク
セス制御が飛んでしまうという所がやっかいなんですよね。
IPsec と NFS って、うまく行くんでしたっけ?
IPv6 と NFS は、なんとか *BSD でできたと見た気がしたので、
IPsec 必須の IPv6 なので、IPsec で NFS ができる道理ではある
のですが。
Sun RPC (ONC RPC) の作り自体は、20年前に transport
independent になるように作ってあったみたいで、その点はなかな
か先見性がありましたね。
ASADA Kazuhisa
<YAS.03Au...@kirk.is.tsukuba.ac.jp> に書きました:
> > 通常の2049では,なにか欠陥があるんでしょうか?
> 一般ユーザが偽物の NFS サーバを挙げることができます。それで、
> 他人の電子メールのファイルが write されるのを待って盗むとい
> うことができます。
少なくとも Solaris 8 なら 2049 は特権ポート扱いです。
2.5 については、覚えていない and 環境がないため、直接調べてくだ
さい。ndd -get /dev/udp \? や ndd -get /dev/tcpp \? でそれらしい
ものを探せばいいです。
以下は長いですが、Solaris 9 4/03 の場合です:
# ndd -get /dev/tcp \?
? (read only)
tcp_time_wait_interval (read and write)
tcp_conn_req_max_q (read and write)
tcp_conn_req_max_q0 (read and write)
tcp_conn_req_min (read and write)
tcp_conn_grace_period (read and write)
tcp_cwnd_max (read and write)
tcp_debug (read and write)
tcp_smallest_nonpriv_port (read and write)
tcp_ip_abort_cinterval (read and write)
tcp_ip_abort_linterval (read and write)
tcp_ip_abort_interval (read and write)
tcp_ip_notify_cinterval (read and write)
tcp_ip_notify_interval (read and write)
tcp_ipv4_ttl (read and write)
tcp_keepalive_interval (read and write)
tcp_maxpsz_multiplier (read and write)
tcp_mss_def_ipv4 (read and write)
tcp_mss_max_ipv4 (read and write)
tcp_mss_min (read and write)
tcp_naglim_def (read and write)
tcp_rexmit_interval_initial (read and write)
tcp_rexmit_interval_max (read and write)
tcp_rexmit_interval_min (read and write)
tcp_deferred_ack_interval (read and write)
tcp_snd_lowat_fraction (read and write)
tcp_sth_rcv_hiwat (read and write)
tcp_sth_rcv_lowat (read and write)
tcp_dupack_fast_retransmit (read and write)
tcp_ignore_path_mtu (read and write)
tcp_smallest_anon_port (read and write)
tcp_largest_anon_port (read and write)
tcp_xmit_hiwat (read and write)
tcp_xmit_lowat (read and write)
tcp_recv_hiwat (read and write)
tcp_recv_hiwat_minmss (read and write)
tcp_fin_wait_2_flush_interval (read and write)
tcp_co_min (read and write)
tcp_max_buf (read and write)
tcp_strong_iss (read and write)
tcp_rtt_updates (read and write)
tcp_wscale_always (read and write)
tcp_tstamp_always (read and write)
tcp_tstamp_if_wscale (read and write)
tcp_rexmit_interval_extra (read and write)
tcp_deferred_acks_max (read and write)
tcp_slow_start_after_idle (read and write)
tcp_slow_start_initial (read and write)
tcp_co_timer_interval (read and write)
tcp_sack_permitted (read and write)
tcp_trace (read and write)
tcp_compression_enabled (read and write)
tcp_ipv6_hoplimit (read and write)
tcp_mss_def_ipv6 (read and write)
tcp_mss_max_ipv6 (read and write)
tcp_rev_src_routes (read and write)
tcp_local_dack_interval (read and write)
tcp_ndd_get_info_interval (read and write)
tcp_local_dacks_max (read and write)
tcp_ecn_permitted (read and write)
tcp_rst_sent_rate_enabled (read and write)
tcp_rst_sent_rate (read and write)
tcp_wroff_xtra (read and write)
tcp_extra_priv_ports (read only)
tcp_extra_priv_ports_add (write only)
tcp_extra_priv_ports_del (write only)
tcp_status (read only)
tcp_bind_hash (read only)
tcp_listen_hash (read only)
tcp_conn_hash (read only)
tcp_acceptor_hash (read only)
tcp_host_param (read and write)
tcp_time_wait_stats (read only)
tcp_host_param_ipv6 (read and write)
tcp_1948_phrase (write only)
tcp_reserved_port_list (read only)
tcp_close_wait_interval(obsoleted- use tcp_time_wait_interval) (no read or write)
# ndd -get /dev/tcp tcp_extra_priv_ports
2049
4045
# ndd -get /dev/udp \?
? (read only)
udp_wroff_extra (read and write)
udp_ipv4_ttl (read and write)
udp_ipv6_hoplimit (read and write)
udp_smallest_nonpriv_port (read and write)
udp_do_checksum (read and write)
udp_smallest_anon_port (read and write)
udp_largest_anon_port (read and write)
udp_xmit_hiwat (read and write)
udp_xmit_lowat (read and write)
udp_recv_hiwat (read and write)
udp_max_buf (read and write)
udp_ndd_get_info_interval (read and write)
udp_extra_priv_ports (read only)
udp_extra_priv_ports_add (write only)
udp_extra_priv_ports_del (write only)
udp_status (read only)
udp_bind_hash (read only)
# ndd -get /dev/udp udp_extra_priv_ports
2049
4045
もし特権ポートを追加したいのなら、{udp,tcp}_extra_priv_ports_add
で追加できます。
--
浅田和久/大阪市在住
MAEDA Atusi
> 少なくとも Solaris 8 なら 2049 は特権ポート扱いです。
> 2.5 については、覚えていない and 環境がないため、直接調べてくだ
> さい。ndd -get /dev/udp \? や ndd -get /dev/tcpp \? でそれらしい
> ものを探せばいいです。
> # ndd -get /dev/udp udp_extra_priv_ports
> 2049
> 4045
>
> もし特権ポートを追加したいのなら、{udp,tcp}_extra_priv_ports_add
> で追加できます。
なるほど,1024以上でも指定したポートを特権ポートにできるんですね.
IANAで
The Well Known Ports are those from 0 through 1023.
The Registered Ports are those from 1024 through 49151.
The Dynamic and/or Private Ports are those from 49152 through 65535.
という規定があって,NetBSDあたりではずいぶん前から(ポート番号に0を指定
してbindを呼んだりすると)49152以降の番号が返ってくる,というのは聞いて
いたのですが.
http://www.unixmagic.org/ml/netbsd/199805/msg00065.html
Solaris 2.6でも,ndd -get /dev/udp udp_extra_priv_ports は同じく
2049
4045
を返しました.(4045は,NFS lockdですね.)
# でも,これでInternet Scannerとやらが黙ってくれるのかは不明.
前田敦司
ASADA Kazuhisa
<m365kj1...@maedapc.cc.tsukuba.ac.jp> に書きました:
> IANAで
> The Well Known Ports are those from 0 through 1023.
> The Registered Ports are those from 1024 through 49151.
> The Dynamic and/or Private Ports are those from 49152 through 65535.
> という規定があって,NetBSDあたりではずいぶん前から(ポート番号に0を指定
> してbindを呼んだりすると)49152以降の番号が返ってくる,というのは聞いて
> いたのですが.
これに合わせるなら {udp,tcp}_smallest_anon_port を 49152 に設定
すればいいですね。(ディフォルトは 32768~65535)
> # でも,これでInternet Scannerとやらが黙ってくれるのかは不明.
ええ、状況がよく判らないので何とも。
--
浅田和久/大阪市在住