Цель демилитаризованной зоны состоит в том, чтобы обычно разделять небезопасную сеть от надежной сети. В зависимости от уровня брандмауэров можно управлять многими аспектами соединения помимо просто открытия портов.
Мой опыт состоял в том, что компании помещают на месте политику, которая препятствует тому, чтобы любые недоверяемые соединения связались непосредственно с доверяемыми ресурсами, при этом исключения тщательно рассматриваются. Например, обратные прокси-серверы в демилитаризованной зоне могут обеспечить предварительную аутентификацию для недоверяемых соединений, прежде чем они будут поданными данными из доверяемых ресурсов.
Другая точка достойная рассмотрения - то, что даже с открытием портов, возможно управлять, какие устройства могут связаться по тем портам. Например, могло бы быть необходимо открыть порт для разрешения коммуникации SQL между веб-сервером в демилитаризованной зоне и SQL-сервером в доверяемом newtwork, но Вы могли ограничить трафик, текущий через тот порт только к веб-серверу и SQL-серверу.
Utimately Вам решать для обработки граничной политики, которая обеспечит минимальный уровень доступа для удовлетворения требований к приложению.
Несколько вещей первое, что пришло на ум. Группа, которая принадлежит пользователю Ваше переключение для существования? Делает runuser
команда имеет setguid липкий набор битов? Проверьте вывод ls -l $(which runuser)
. Поочередно, возможно, что Вам можно было бы смонтировать раздел с nosuid
флаг. Проверьте вывод mount
для этого.
- Christopher Karel