有一台机器是几个iscsi目标的发起者。 发起者和目标之间的networking在物理上是安全的,所以我一直认为这个章节不是必需的
如果我看看netstat,它在高端口上有连接到iscsi目标端口3260的外出连接,而且一切都很好
因为任何用户都可以使用这些高端口,所以似乎任何运行root用户的用户都可能设置一个stream氓iscsi发起者并做任何事情。 我可以在任何iscsi目标上telnet到3260并获得连接,所以看起来我可以获得对任何磁盘的阻止访问权限,而无需在启动器上创build根目录。
我对么?
你的逻辑是正确的。 如果用户可以将程序复制到系统上,或者可以在系统上开发一个程序,那么在临时端口上不需要root访问来进行主动打开。 因此它可以将iSCSI请求发送到不安全的目标。