Un parefeu qui filtre sur les utilisateurs

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
14
mai
2002
OpenBSD

pf, le pare feu d'OpenBSD, accepte désormais des règles de filtrage basée sur l'uid et le gid associés à un socket.



Ainsi, on peut réserver l'accès au port 22 à un groupe d'utilisateurs seulement. Ou limiter au groupe daemon l'attente de connection sur un port ou un autre !



Il ne manque plus que l'ouverture de port réservée à un processus dont le code objet correspond à une certaine somme de contrôle ! ;)

Aller plus loin

  • # et netfilter..

    Posté par  . Évalué à 10.

    ça fait un petit bout de temps que ça existe (mais c'est encore expérimental, certes)

    On a donc les options :
    --uid-owner, --gid-owner, --sid-owner, --pid-owner, --cmd-owner

    Cette option de netfilter n'est valable que dans la chaîne OUTPUT

    Plus d'infos : man iptables :)
    • [^] # Re: et netfilter..

      Posté par  . Évalué à 10.

      J'avais cru comprendre que cela ne fonctionnait que sur les flux sortants avec netfilter.
      This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match

      Dans le cas de pf, c'est basé sur les credentials associés au socket correspondant.

      Ce qui fait que l'on peut n'autoriser que certains groupes à recevoir sur tel ou tel port, ce que netfilter ne permet pas.
  • # Question sur les uid, gid et cie.

    Posté par  . Évalué à 6.

    J'ai quelques questions pour les administateurs systeme avertis qui fréquentent ce site : Comment concevoir une politique de permission basée sur les uid/gid dans un réseau ? ou Comment avoir un fichier passwd cohérent au niveau de l'attribution d'un uid à un utilisateur physique au sein d'un lan (pour nfs par ex) ? Quelles sont les solutions pratiques sous GNU/linux ? Bref, j'aimerais bien quelques précisions car j'avoue que je demeure dans le flou :-)
    • [^] # Re: Question sur les uid, gid et cie.

      Posté par  (site Web personnel) . Évalué à 0.

      NIS ?
      • [^] # Re: Question sur les uid, gid et cie.

        Posté par  . Évalué à 7.

        LDAP !!!! http://www.openldap.org www.padl.com/pam_ldap.html
        • [^] # Re: Question sur les uid, gid et cie.

          Posté par  . Évalué à -1.

          Quel est l'intérêt de LDAP par rapport à une base SQL ou à un fichier XML ou n'importe quoi d'autre ? J'ai toujours eu du mal à comprendre ce qu'on pouvait bien lui trouver de formidable. Non je n'ai pas cherché :p
          • [^] # Re: Question sur les uid, gid et cie.

            Posté par  (site Web personnel) . Évalué à -3.

            J'ai toujours eu du mal à comprendre ce qu'on pouvait bien lui trouver de formidable. T'es bouché ou quoi ? C'est mieux. Un point c'est tout, et arrête de poser des questions idiotes. -- i²
          • [^] # Re: Question sur les uid, gid et cie.

            Posté par  . Évalué à 5.

            Quel est l'intérêt de LDAP par rapport à une base SQL ou à un fichier XML ou n'importe quoi d'autre ? Simple: c'est fait pour ca ! Tu as tout ce qu'il faut, et rien de plus (on va dire pas grand chose), avec le protocole réseau pour faire les requètes, l'organisation hiérarchique propre, possibilité de découper ton arborescence LDAP sur plusieurs serveurs, etc.... Cela sans la "lourdeur" d'une base SQL (au passage, LDAP utilise des "backends" pour stocker ses données, et SQL est l'un des backends possibles).
          • [^] # Re: Question sur les uid, gid et cie.

            Posté par  . Évalué à 1.

            LDAP offre une réprensation arborescente. C'est beaucoup plus pratique pour modeliser un annuaire qu'une table classique de SGBD.
            De plus, LDAP est un protocole très simple et leger, ce qui facilite son integration dans le SI.
    • [^] # Re: Question sur les uid, gid et cie.

      Posté par  . Évalué à 1.

      NIS sans aucun doute voir http://www.linuxfocus.org/English/July2001/article148.shtml , ça te permet d'avoir un fichier utilisateur central. C'était utilisé à la Miage de Paris XII.
      • [^] # Re: Question sur les uid, gid et cie.

        Posté par  . Évalué à 6.

        NIS c'est bien pratique, mais c'est une techno vieillote, surtout en ce qui concerne la sécurité. En environnement hétérogène, les options de shadow password NIS implantées dans la version de linux ne peuvent pas être utilisées. On se retrouve donc avec du NIS classique et un p'tit ypcat de la map passwd permet de récupérer les hashing des mots de passe et cela fait de la bonne soussoupe pour crack ou john the ripper (il faut juste connaître le nom de domaine NIS) NIS est aussi vulnérable par une attaque "man in the middle", envoie les maps complètes aux masters slaves NIS au lieu de faire un bête différentiel, ... A utiliser uniquement donc si l'aspect sécurité est relégué dans les profondeurs. NIS+ c'est beaucoup mieux, mais c'est plus balèze à administrer.
  • # pf ya du boulot

    Posté par  . Évalué à 2.

    Dommage j'ai du patcher mon openbsd 3.0 pour revenir a ipf qui sait translater le pptp (eh oui j'ai besoin de ca) A part ca le ftp-proxy c'est vraiment lourd par rapport au module ftp d'iptables Voila, c'etait mes critiques :p a+
    • [^] # Re: pf ya du boulot

      Posté par  . Évalué à 2.

      L'avantage c'est que tu peux creer ton propre proxy sans pour autant que cela soit inclu ds les sources de pf.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.