Post by PawelAle czy te sposoby udostępniają port z kontenera w sieci fizycznej?
Podkręć jasność wypowiedzi. Podałem sposoby na to, żeby program
uruchamiany jako "nie root" mógł słuchać na "uprzywilejowanym"
(<1024) porcie. Swoją drogą, wyłączenie "uprzywilejowania"
portów wcale nie jest IMO głupim pomysłem. Jedyne wytłumaczenie
tego "zabezpieczenia" jakie udało mi się znaleźć, rzecze iż:
"This is a security feaure, in that if you connect to a service
on one of these ports you can be fairly sure that you have the
real thing, and not a fake which some hacker has put up for you."
https://www.w3.org/Daemon/User/Installation/PrivilegedPorts.html
Może to miało sens w sieci uczelnianej w latach osiemdziesiątych,
gdzie student podłączając się do jakiejś usługi na niskim porcie
miał "pewność",że skonfigurował ją admin serwera a nie inny
studenciak. Ale teraz, w czasach internetu? (choć oczywiście
jeśli ktoś ma inne zdanie chętnie się zapoznam, może jestem w błędzie).
Więcej, pozostawanie przy "uprzywilejowaniu" portów może
prowadzić do problemów z bezpieczeństwem, bo prościej zawsze
uruchomić coś jako root. Zrzucanie przywilejów, czy jak to
zgrabnie po polsku ująć, też może czasem się nie udać.
Prościej jest nie używać uprawnień root do otwierania
niskich portów.
https://ar.al/2022/08/30/dear-linux-privileged-ports-must-die/
Post by PawelZnalazłem także taką komendę
Zamiast "znajdować komendę" proponowałbym spróbować zrozumieć,
jak to działa :-)
Post by PawelZnalazłem info, że ten systemd-resolv, to pełni rolę cache dla zapytań
DNS. Probówałem to zrobić lokalnie na laptopie, ale nie wychodziło mi,
bo DNS nie działał. Niby ten AdGuard był uruchomiony, a ten systemd
No a ten cały AdGuard to czasem nie też DNS, podobny do pi hole? :-)
Dwie usługi nie mogą działać na tym samym porcie.
I jak diagnozowałeś nie działanie DNS?
Jeśli chcesz zastąpić serwer DNS tym całym AdGuardem
DNS od systemd musi być wyłączony. Aczkolwiek IMHO
dla kogoś zielonego najprościej IMO użyć pihole,
tutorial "za rączkę" po polsku:
https://sekurak.pl/zabezpieczamy-domowa-siec-przed-stronami-wyludzajacymi-od-nas-dane-konfiguracja-pi-hole/
Ma to np. tę zaletę, że może sobie automagicznie aktualizować
listę przestępczych domen.
A do nauki/zabawy kontenerami wybrać inną usługę.
Choć oczywiście to tylko delikatna sugestia.
--
Dominik Ałaszewski (via raspbianowy slrn)
"W życiu piękne są tylko chwile…" (Ryszard Riedel)
Wyrażam wyłącznie prywatne poglądy zgodnie z Art. 54 Konstytucji RP
Pisząc na priv zmień domenę na gmail.