иметь машину, которая является инициатором нескольких целей iscsi. Сеть между инициатором и целями физически безопасна, поэтому я всегда предполагал, что chap не требуется
Если я посмотрю на netstat, у него есть исходящие соединения на высоких портах с портом 3260 на целевых объектах iscsi, и все работает хорошо
Поскольку эти высокие порты доступны любому пользователю, может показаться, что любой пользователь, использующий root или нет, потенциально может настроить мошеннический инициатор iscsi и делать что угодно. Я могу подключиться по telnet к 3260 на любой из целей iscsi и получить соединение, поэтому может показаться, что я потенциально могу получить доступ к блокировке любого диска, не будучи root на машине-инициаторе.
Я прав?
Ваша логика верна. Если пользователь может скопировать программу в систему или может разработать ее в системе, то ему не потребуется root-доступ для активного открытия на эфемерном порте. Следовательно, он может отправлять запросы iSCSI на незащищенную цель.