ограничения в /etc/hosts для разных юзеров

[ihaar]

Приветствую

дано
vps с ubuntu server на борту
к нему через ssh туннели подключаются два юзера user1 и user2 (бюджетный впн для чайников))
задача ограничить для user2 доступ к определённому сайту снаружи сети, но для user1 оставить без ограничений

если прописать в /etc/hosts
127.0.0.1 site2block.com

то блокирует для обоих
есть ли возможность разделить hosts по юзерам?
или есть какой другой простой способ не требующий мегазнаний и необходимости писать скрипты в 100 строк )

был бы признателен за подсказки

[Dzhoser]

Гуглите Nanny Parental Control

[ihaar]

Спасибо, но насколько понял, это приложения для клиентов.
А нужно средствами сервера сделать блок. Это важно.

[The Green Side]

Интересная задача!

Мне лично приходит в голову только разделить юзеров по контейнерам.
То есть: юзерам даём разные порты для подключения по SSH
порт1 перенаправляем в контейнер1
порт2 перенаправляем в контейнер2

В контейнерах уже настраиваем доступ.
Минус - юзер сможет сам себе открыть доступ, ибо в контейнере он админ 
Решение 1 : в контейнерах создавать юзеров с ограниченными правами
Решение 2 : настраивать доступы на хосте, например с помощью https://coredns.io
для каждого юзера поднимать DNS на отдельном порту и разрешать ему доступ только к этому порту, ну и в интернет конечно.

Громоздко, зато

бюджетный впн

Пользователь добавил сообщение 12 Августа 2020, 13:58:28:P.S. как альтернативу CoreDNS (но более "жирную" и по моему опыту менее стабильную), зато с GUI, можно использовать Pi-hole
Там можно делить списки блокировок по IP клиента (в данном случае по IP контейнера)

[ihaar]

спасибо.
а можно ли разворачивать контейнеры внутри контейнера?
vps и так сам является контейнером на OpenVZ

[The Green Side]

а можно ли разворачивать контейнеры внутри контейнера?

Это должно быть явным образом разрешено на хосте.
Например, в LXC это security.nesting=true

[ihaar]

а можно както проверить без обращения к админам хоста?
Это платный простенький vps, общение с поддержкой немного медленна )

[The Green Side]

Конечно, первые 4 команды из этого мануала

Код: [Выделить]

sudo apt install lxd
lxd init
lxc launch ubuntu:18.04 pihole
lxc list


[snowin]

ihaar, насколько я знаю, это делается средствами netfilter

[ihaar]

The Green Side, ругается

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

sudo lxc launch ubuntu:18.04 pihole
Creating pihole
Starting pihole
error: Error calling 'lxd forkstart pihole /var/lib/lxd/containers /var/log/lxd/pihole/lxc.conf': err='Failed to run: /usr/bin/lxd forkstart pihole /var/lib/lxd/containers /var/log/lxd/pihole/lxc.conf: '
  lxc 20200812113853.221 ERROR lxc_cgfsng - cgroups/cgfsng.c:cg_legacy_mount_controllers:2025 - Permission denied - Failed to mount "cpu" onto "/usr/lib/x86_64-linux-gnu/lxc/sys/fs/cgroup/cpu,cpuacct//lxc/pihole"
  lxc 20200812113853.221 ERROR lxc_conf - conf.c:lxc_mount_auto_mounts:612 - Permission denied - error mounting /sys/fs/cgroup
  lxc 20200812113853.221 ERROR lxc_conf - conf.c:lxc_setup:3351 - failed to setup the automatic mounts for 'pihole'
  lxc 20200812113853.221 ERROR lxc_start - start.c:do_start:1248 - Failed to setup container "pihole".
  lxc 20200812113853.222 ERROR lxc_sync - sync.c:__sync_wait:59 - An error occurred in another process (expected sequence number 5)
  lxc 20200812113853.282 ERROR lxc_container - lxccontainer.c:wait_on_daemonized_start:804 - Received container state "ABORTING" instead of "RUNNING"
  lxc 20200812113853.283 ERROR lxc_start - start.c:__lxc_start:1802 - Failed to spawn container "pihole".


Пользователь добавил сообщение 12 Августа 2020, 15:04:30:snowin, спасибо.
я этого и боялся ) iptables непаханное поле для меня и понимаю что потребуется много времени )

нагуглил такой пример
iptables -A OUTPUT -p tcp -m string --string "block-me.com" --algo kmp -j DROP

я так понимаю что надо вставить ещё это
owner --uid-owner {USERNAME}

можете подсказать куда?

[The Green Side]

ihaar, почти на 100% уверен, что у вас запуск контейнеров запрещён

[ihaar]

The Green Side, ну это ж логично, провайдер нарезает своё железо сам на контейнеры и зарабатывает на этом ) Нужно разделить, бери ещё один.

[snowin]

можете подсказать куда?

примеров в инете масса

Код: [Выделить]

iptables -A OUTPUT -p tcp --dport 992 -d localhost -m owner ! --uid-owner root -j REJECTлибо по id
а вообще:
man iptables-extansions

owner
       This module attempts to match various characteristics of the packet creator, for locally generated packets. This match is only valid in the  OUTPUT  and  POSTROUTING
       chains. Forwarded packets do not have any socket associated with them. Packets from kernel threads do have a socket, but usually no owner.

       [!] --uid-owner username

       [!] --uid-owner userid[-userid]
              Matches if the packet socket's file structure (if it has one) is owned by the given user. You may also specify a numerical UID, or an UID range.

       [!] --gid-owner groupname

       [!] --gid-owner groupid[-groupid]
              Matches if the packet socket's file structure is owned by the given group.  You may also specify a numerical GID, or a GID range.

       [!] --socket-exists
              Matches if the packet is associated with a socket.

[ihaar]

snowin, спасибо! буду разбираться