Oprócz tego, SYN/ACK nie generuje aplikacja, tylko kernel, tzn. dopiero jak klient odpowie na syn/ack to kernel przekazuje do appa że jest nowe połączenie, więc autor appa może co najwyżej zabezpieczać się przed nadmierną ilością otwartych połączeń, a nie “półotwartych”

Poza tym dropowanie zamiast słania RST blokuje możliwość używania kompa do idle scana ( -sI w nmapie) chociaż to akurat małe zmartwienie ;]

A o jakiej przepustowości chcesz mówić, gdy routery klękają i zaczynają zrzucać połączenia lub nie chcą puszczać nowych? Szczególnie, gdy zarżnięty router postanowi zrzucić np. sesję BGP? ;)))

Właśnie cała idea cichego upuszczania pakietów na podłogę jest co najmniej niemądra: nie obsługujesz czegoś, to mówisz ,,nie obsługuję”. A DoS w oparciu o flood na maszynę, która nie odsyła RST/ICMP DestUnreach raczej nie jest wymierzony w maszynę, ile właśnie w routery.

@r Sam tej opcji raczej nie używam (w końcu jak ktoś chce to sobie zeskanuje). Ale w przypadku ataku wole żeby zapychał się RAM routerów operatora a nie żeby zżerało bandwidth za który zapłaciłem ;]. Poza tym mówimy o portach closed, nie różni to się niczym od zrobienia DROP na firewallu, nikt nie będzie przecież DoSował zamkniętego portu.

Oczywiście, że się nie zapchają, bo widząc wracające RST/ICMP(4) będą usuwać stany z tablic.

Kiedyś, jeszcze za czasów paczy Solara sam się tą funkcją trzepałem. Po latach uważam ją za bezsensowe gówniarstwo — nie dość że jest to security through obscurity, to jeszcze cierpi na tym infrastruktura pośrednia.

Osoby które mają konta shellowe to albo pracownicy i nikt tu nie będzie exploitów uruchamiał, bo takie rzeczy inaczej się rozwiązuje, albo są to osoby które są w kręgu zaufania czy jak kto chce to nazwać i nie będą takich rzeczy robić.

Osobie obcej dostępu do żadnej maszyny bym nie dał.

Jeśli to jest to, o czym myślę, to jest to bardzo mądre rozwiązanie. Przy byle konkretniejszym floodzie na takie porty maszyna radośnie upuszcza pakiety na podłogę, a tymczasem wszystkie routery po drodze, łącznie z naszymi… robią bokami, bo im się tablice stanów kończą.

Noexec to tylko taka głupia flaga, która mówi, że z danego fs-u nie powinno się odpalać binarek (bo jest to np. zasób podmontowany po NFS-ie z serwera o innej architekturze). Może w połączeniu z WielkąPytąBradaSpenglera (programistą może i koleś jest niezłym, ale przy okazji jest dupkiem sto razy większym od Theo) ma to jakiś sens, ale skoro grsecu jest RBAC, to jest to tylko PITA. (a jak obejść noexec Lcamtuf pisał już wieki temu).

A po przedarciu się przez RHCE śmiem twierdzić, że SELinux z dopracowanymi politykami też jest całkiem zjadliwy.