[BSD] pf tabla modositasa on-the-fly2

[Adam Szilveszter]

Tátrai József wrote:

> Julisuban volt egy kerdesem,
> (http://www.hu.freebsd.org/hu/arch/2004/Jul/1748.html)
> hogy hogyan lehet a pf tablaiba elemet beszurni/torolni securelvele 2-n
> vagy 3-on, mer ta doksi azt irja, hogy lehet, ugyanakkor megsem muxik
> nalam.
> 
> Namost akkor le lettem hurrogva, hogy miert akarok en securelevel alatt
> barmit tenni, mikor a securelevel man-ban szerepel, hogy:

<..>

Orulok, hogy sikerult megoldani a problemadat, foleg, mivel a 
dokumentacio es a kod kozotti elteresek tenyleg idegesitoek. De azert 
filozofiai szemuveggel annyit hozza lehetne meg tenni, hogy a pf 
szabalyok potemcialis valtoztathatosaga messze nem csak azert lehet 
rizikos, mert tulterhelheto a gep (sot szerintem ez a kisebb baj) hanem, 
mert egy restriktiv tuzfalat gyorsan nagyon is "ateresztove" lehet tenni 
kulonben... a securelevel eredeti funkcioja pedig pont valami olyasmi 
volt, hogy bizonyos valtoztatasokat meg a root hasznalo is csak a 
rendszer ujrainditasa (es single user mod) aran tudjon megtenni, mert 
azert az nagyban csokkentheti egy esetleges root kompromittalodas 
hatasat es mert egy varatlan reboot csak feltunik mar valakinek... mas 
kerdes, hogy azota mar latszik, hogy a securelevel messze nem eleg 
"finom" beallitas, es nem is elegge biztonsagos, tehat efajta 
"root-szeliditonek" mar nem ajanlhato, csak egy ujabb reteg lehet a 
vedelmi intezkedesek soraban. A root kulonleges szerepenek korlatozasara 
es a finomabb jogkiosztasra azota mar mas modszerek az elterjedtek.

Sz.