On Mon, May 15, 2006 at 10:53:52AM +0200, Filippo Biondi wrote:
> fatemi capire..
> quando dite "un server web non deve poter far _partire_ connessioni
> verso Internet" intendete che l'applicativo apache o l'utente www-data
> non devono attivare connessioni verso altri well_known ports
> (21-23-25-110-80-8080-etc..), dico bene?
No, diciamo che tutta la dmz in genere non fa connessioni verso nessuna
porta con nessun utente, salvo ben determinate cose e connessioni (verso
singoli ip (e magari facendo anche filtro su uid), es: ntp verso il
server ntp specificato, dns verso i server dns specificati, smtp verso
il server smtp specificato, http verso i server di update specificati,
etc.), volendo mediate da proxy e non dirette.
K.
|