Существует ли все еще причина, почему привязка к порту <1024 только авторизовывается для корня в системах Unix?

В обычных пользователях былых времен, используемых для входа в систему в машины Unix. Таким образом, Вы не хотели бы среднего пользователя, настраивающего поддельный сервис ftp или что-то.

В эти дни типичное использование состоит в том, что только у администратора и нескольких других доверяемых людей есть логины сервера, поэтому если бы модель была восстановлена сегодня, <то 1024 ограничения не могли бы присутствовать.

Ну, оригинальное мышление как я вспоминаю со дней Unix BSD, было то, что порты <1024, как ожидали, будут зарезервированы для "известных сервисов", и предположение было все еще, что серверы будут относительно редки, и что людям с полномочиями пользователя root, как предполагали бы, "доверяли" бы в некотором роде. Таким образом, Вы должны были быть привилегированы, чтобы обязать сокет слушать на порте, который представит сетевую службу, к которой получили бы доступ другие пользователи.

Порты 1024-4999 были предназначены, чтобы использоваться в качестве "эфемерных" портов, которые представят сторону клиента соединения TCP. Порты 5000 + были предназначены для некорневых серверов.

Очевидно, все те предположения пошли из окна довольно быстро. Проверьте список резервирования номера порта TCP IANA для наблюдения, как высокие вещи добрались.

Одним решением этой проблемы был RPC portmapper идея. Вместо того, чтобы резервировать порт TCP для каждого сервиса, сервис запустил бы на случайном порте и сказал бы portmapper демону, где он слушал. Клиенты спросили бы portmapper, "где является обслуживание X" слушанием, и продолжите двигаться оттуда. Я не могу вспомнить, какие механизмы защиты существовали для защиты известных сервисов RPC от олицетворения.

Я не уверен, что существует Серьезное основание в эти дни для все это, но как большая часть *отклоняют мировые вещи, имеют тенденцию накапливаться по сравнению с тем, чтобы быть полностью переосмысленным.

Кто-либо считал Vernor Vinge? Я помню его пишущий в одном из его романов о компьютерной системе в далеком будущем, которое включило слои и слои кода от древнего прошлого со временем, все еще представленным числом секунд начиная с некоторой древней даты (01.01.1970, чтобы быть точным). Он, вероятно, не далеко.

Это - историческая конвенция.

Давным-давно, количество систем было намного меньше. Не было также никакого DNS, FTP-сайты, которые попросили относительно Вашего анонимного пароля быть Вашим адресом электронной почты, и не было никакого спама.

Это было по существу соглашение подразумеваемых "господ". Системы были хорошо администрируемы, если кто-то испортил это, Вы знали, кто говорить, или если они были раздражительны, будучи начатым, сеть в значительной степени означала оставаться в режиме офлайн.

Сегодня, с TCP/IP на всем, это, больше не обеспечивает безопасности.

Это имеет смысл для сервисов, которые принимают, что системные пароли работают на привилегированных портах; это означает, что пользователи с учетными записями с доступом через оболочку не могут настроить "поддельные" сервисы на тот же порт для получения данных для входа в систему народов или запретить доступа путем установки нефункциональных сервисов на те же порты.

Если у Вас было многопользовательское поле, и непривилегированный пользователь смог настроить жулик ssh демон, они могут получать пароли других пользователей и получать доступ к их учетным записям (конечно, они должны были бы сделать это, в то время как законный ssh демон снизился, возможно, для обслуживания или во время системного запуска или завершения работы),

Вещи, которые не принимают системные пароли, не имеют значения так, хотя существуют главные проблемы безопасности с совместным использованием вещей, таких как веб-серверы между пользователями на многопользовательском поле (поскольку общие поставщики услуг хостинга обнаружили),