Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Дать доступ в интернет только root'у  (Прочитано 912 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Shtorm007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Здравствуйте. Стоит следущая задача. Комп подключен к инету через локалку, без запроса логин-пароль. Идентификация по mac и IP. Как можно запретить доступ в инет обычному пользователю, но чтобы осталась возможность выйти через рутовые права. Или не рутовые, но с запросом пароля.
Пробовал поднять прокси. Но так как инет локально подключен, то стоило в настройках браузера убрать галочку "прокси" - и инет в полном доступе.

tartan

  • Гость
Re: Дать доступ в интернет только root'у
« Ответ #1 : 14 Ноябрь 2008, 12:45:03 »
А сильно прошаренные пользователи? Сменить владельца файла firefox и чмод ему на исполнение только владельцем. Другой браузер установить без синаптика затруднительно, а синаптик рутовский пароль спросит.

Найти браузер:

whereis браузер

потом - chmod и chown с нужными опциями.

Впрочем, я не специалист и не пробовал это решение на практике.

Оффлайн Shtorm007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #2 : 14 Ноябрь 2008, 19:36:04 »
Спасибо за совет. Думаю, вполне просто и логичное решение.

Оффлайн Chromium

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #3 : 14 Ноябрь 2008, 21:08:00 »
https://forum.ubuntu.ru/index.php?topic=40584.0

Можно /etc/resolv.conf залочить через chmod

tartan

  • Гость
Re: Дать доступ в интернет только root'у
« Ответ #4 : 14 Ноябрь 2008, 21:30:57 »
Что совой об пенёк, что пеньком об сову. ) А по вашему варианту можно по айпишнику в сетку вылезти. Минуя нэймсервер. Нет? )

По моему варианту - накачать вгетом гигабайты всякой хреноты. Я почему и спрашиваю, сильно ли прошаренные пользователи. )
« Последнее редактирование: 14 Ноябрь 2008, 21:35:01 от tartan »

Оффлайн mbmx

  • Новичок
  • *
  • Сообщений: 11
  • ASP Linux Certified Administrator
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #5 : 15 Ноябрь 2008, 00:27:24 »
У iptables есть замечательный модуль owner...

Пишем:

# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m owner --uid-owner 0 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -p udp -m owner --uid-owner 0 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -j DROP

И счастливо наблюдаем как все юзвери, не имеющие UID = 0 обламываются ;) Правда так же могут обломаться некоторые сервисы, которые запускаются с не рутовским UID, кот. кстати, равен 0...

Чтоб разрешить и сервисам ходить в инет - добавляем такие же разрешающие правила и для них, только предварительно выясняем их UID и подставляем вместо 0. Обратите внимание - разрешающие (ACCEPT) правила должны быть ПЕРЕД запрещающим (DROP), иначе дойдя до запрещающего на нем и остановятся...

А так - http://iptables-tutorial.frozentux.net/iptables-tutorial.html. Рекомендую прочитать внимательно, а лучше всего хорошо изучить - файрволить надо уметь, т.к. это залог безопасности и крепкого сна ;)

Всего хорошего :)
ASPLinux 12, Debian 4 Etch, Fedora 8. MSI VR610X-016UA, AMD Turion x2, Radeon x1250, 1024 RAM, 160 HDD.
Debian 4 Etch. Athlon XP 2200+, Radeon 9600, 2048 RAM, 1.2 TB LVM.
U:5.5 Mb/s, D:7 Mb/s.

Оффлайн mbmx

  • Новичок
  • *
  • Сообщений: 11
  • ASP Linux Certified Administrator
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #6 : 15 Ноябрь 2008, 00:38:06 »
Еще, вариант... Завернуть трафик на squid, а там с помощью auth_param (http://www.squid-cache.org/Doc/config/auth_param/) по парольчику отрулить кому можно, а кому нельзя ходить в инет.

Завернуть типа так:

# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m multiport --dports 80,81,82,3128,8000,8080 -m owner --gid-owner 20 -j ACCEPT
# iptables -A OUTPUT -d ! 127.0.0.1 -p tcp -m multiport --dports 80,81,82,3128,8000,8080 -j REDIRECT --to-port 3128

, где --gid-owner 20 - есть GID прокси squid (у Вас может быть другой, так что консультируемся тут: # cat /etc/passwd или # id squid).
« Последнее редактирование: 15 Ноябрь 2008, 00:43:53 от mbmx »
ASPLinux 12, Debian 4 Etch, Fedora 8. MSI VR610X-016UA, AMD Turion x2, Radeon x1250, 1024 RAM, 160 HDD.
Debian 4 Etch. Athlon XP 2200+, Radeon 9600, 2048 RAM, 1.2 TB LVM.
U:5.5 Mb/s, D:7 Mb/s.

tartan

  • Гость
Re: Дать доступ в интернет только root'у
« Ответ #7 : 15 Ноябрь 2008, 00:40:41 »
Во. Правильный вариант. )) Форум рулит. )

forumreader

  • Гость
Re: Дать доступ в интернет только root'у
« Ответ #8 : 15 Ноябрь 2008, 00:45:52 »
А файерволом запретить определенным программам доступ в сеть нельзя?

Оффлайн mbmx

  • Новичок
  • *
  • Сообщений: 11
  • ASP Linux Certified Administrator
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #9 : 15 Ноябрь 2008, 00:50:30 »
Ну по сути можно... Запускаешь программу с известным тебе UID или GID и рубаешь ее таким же точно правилом в iptables, как я привел выше ;) Как запустить прогу с определенными UID, GID - вопрос другой и зависит от самой проги...
Да и потом... Если известны порты, по которым работает программа - режем порты все тем же iptables и опаньки :)

Кстати, на тему файрволлинга - правильный файрвол строится по деспотичному принципу: запрещено все, что явно не разрешено. Т.о. стоит поступить так - закрыть все, а потом открыть только то, что конкретно нужно. Это самый правильный вариант. Только настройку этого файрвола ни в коем случае нельзя производить удаленно, т.к. легко рубается сервис через который мы находимся на этой машине и усе, приплывон :) Из личного опыта - когда-то, давным-давно настраивал файрвол на машинке, кот. находилась в 3000 км. от меня... И закрыл сам себе доступ по ssh :) Благо было кому позвонить и продиктовать команды...
« Последнее редактирование: 15 Ноябрь 2008, 01:01:51 от mbmx »
ASPLinux 12, Debian 4 Etch, Fedora 8. MSI VR610X-016UA, AMD Turion x2, Radeon x1250, 1024 RAM, 160 HDD.
Debian 4 Etch. Athlon XP 2200+, Radeon 9600, 2048 RAM, 1.2 TB LVM.
U:5.5 Mb/s, D:7 Mb/s.

Оффлайн Shtorm007

  • Автор темы
  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #10 : 18 Ноябрь 2008, 06:18:22 »
Всем спасибо :) Squid & Iptables рулят.

Оффлайн mbmx

  • Новичок
  • *
  • Сообщений: 11
  • ASP Linux Certified Administrator
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #11 : 19 Ноябрь 2008, 21:09:08 »
То что они рулят конечно же хорошо... Вот только для истории, так сказать, опиши решение - последующие поколения будут тебе благодарны ;)
ASPLinux 12, Debian 4 Etch, Fedora 8. MSI VR610X-016UA, AMD Turion x2, Radeon x1250, 1024 RAM, 160 HDD.
Debian 4 Etch. Athlon XP 2200+, Radeon 9600, 2048 RAM, 1.2 TB LVM.
U:5.5 Mb/s, D:7 Mb/s.

Оффлайн andy7d0

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Дать доступ в интернет только root'у
« Ответ #12 : 29 Ноябрь 2008, 14:38:00 »
2forumreader
iptables --cmd-owner

 

Страница сгенерирована за 0.069 секунд. Запросов: 22.