Das geht nicht!
Die heissen nicht umsonst "privilegierte Ports" ...

Das einzige das Du machen kannst, ist die Dienste als root zu starten und dann einem bestimmten Benutzer zuweisen. (sudo könnte da auch hilfreich sein)

Das gehört zum Sicherheitskonzept von Unix: stell Dir vor Du hast einen Webserver und ein Benutzer nützt die Situation aus und startet einen eigenen Webserver, während Du Deinen wartest; Das kann nicht gewollt sein!

Außerdem: Wenn du unbedingt einen Serverport von einem Benutzer starten lassen willst, stehen dir dafür 64k Portnummern offen


Michael

Hi Michael!

> Das geht nicht!
Schade

> Die heissen nicht umsonst "privilegierte Ports"
Gibt es keine Möglichkeit einen User ein Privileg für einen Port einzuräumen oder umgekehrt kann man für einen Port nicht das Priveleg abschalten?


> stell Dir vor Du hast einen Webserver und ein Benutzer nützt die Situation aus
Stell dir Arbeitsteilung vor. Einer kümmert sich um das System (root) und einer oder mehrere um ihre Anwendung/en (user). z. B. Webserver.

> Serverport [...] stehen dir dafür 64k Portnummern offen
Hmm, typisch konfigurierte Firewalls/Proxyserver lassen nur die Ports 80 und 443 durch.
Typische Endanwender sind von komplizierten Urls schnell überfordert.


Talon.

Nein, von "Privileg zuweisen" habe ich noch nichts gehört/gelesen.
Aber schau Dir zu dem Thema "Arbeitsteilung" mal die Gruppe 'root' an

Für feiner ganulierte Rechtevergabe (weil Gruppe root darf evtl. zu viel) gibt es dann noch SELinux-Patches die dann noch mit ACLs arbeiten ...

Michael

> schau Dir zu dem Thema "Arbeitsteilung" mal die Gruppe 'root' an
Das war eine Hoffnung die sich leider auch zerschlagen hatte. Normaler User selbst mit primärer Gruppe root darf die privilegierten Ports nicht belegen.


> Für feiner ganulierte Rechtevergabe (weil Gruppe root darf evtl. zu viel)
> gibt es dann noch SELinux-Patches die dann noch mit ACLs arbeiten ...
Alles was ich bisher gelesen hatte, schränkt die bestehenden Rechte weiter ein. Ich las aber nie was über eine Neugliederung (oder Lockerung) der Rechte.
Liege ich da falsch?


Talon

Das ist richtig.

Michael

> mein prob is nämlich das mein provider die ports über 1000 drosselt und ich deswegen gerne auf
> die darunter ausweichen würde...

Was soll das denn bedeuten?
Ports werden gedrosselt? Wie? Soll das heissen, dass bei Verbindungen über Ports > 1000 die Bandbreite eingeschränkt wird? Sourceport oder Destinationport? Und wie will dein Provider verhindern, dass Du nicht root bist auf deiner Kiste und einen Port < 1000 aufmachst?
Das Konzept ist total hirnvebrannt...

Gruss,
kp

> Sourceport oder Destinationport
Der Clientport (Sourceport) wird normalerweise automatisch vergeben. Filterung macht also nur für den Serverport Sinn.

> bei Verbindungen über Ports > 1000 die Bandbreite eingeschränkt
Bei members.tripod.com hatte ich irgendwann mal folgendes festgestellt. Wenn du eine große Datei (z. B. zip) angeklickt hattest, gabs erst einen Redirct auf einen anderen Port und dann die Datei.
M. E. war der einzige Sinn, dass auf diesen Port die Bandbreite eingeschränkt ist und so die Performance für normale Requests optimiert werden sollte.
Ist aber nur meine Theorie

Talon

Ein HTTP-Redirect macht aber nicht Dein Provider, sondern der entfernte Server (members.tripod.com)!
Und wenn man die verstümmelte Internetverbindung eines Providers nicht mag, kann man ihn ja immer noch wechseln bevor man diese Frickelei anfängt!

Michael