Journal ACL réseau sous linux

Posté par  .
Étiquettes : aucune
0
12
jan.
2006
cher journal,

ça fait un moment que je cherche, pas moyen de trouver quoi que ce soit. Alors, je te pose directement la question :

Y'a t'il un moyen d'empécher un utilisateur particulier d'accéder totalement au réseau sur une machine linux, tout en autorisant les autres utilisateurs ?

un genre de chmod o-rwx /dev/eth0 quoi...

Merci de votre aide !
  • # man iptables :)

    Posté par  . Évalué à 6.

    pour autoriser toto à contacter des hôtes sur le port 80 :
    iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner toto -j ACCEPT
    • [^] # Commentaire supprimé

      Posté par  . Évalué à 2.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: man iptables :)

        Posté par  . Évalué à 3.

        En fait, dans le cas de l'utilisation de la règle:

        iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner toto -j ACCEPT


        Il est effectivement necessaire d'avoir une politique à DROP.
        Par contre, dans son cas, il semblerait qu'il souhaite interdire les connexions réseaux à un utilisateur particulier, donc je mettrai plutot:

        iptables -P OUTPUT ACCEPT
        iptables -I OUTPUT 1 -m owner --uid-owner toto -j REJECT
  • # SELinux

    Posté par  (site web personnel) . Évalué à 1.

    Je pense que c'est le genre de trucs qu'on est capable de faire avec SELinux.

    http://l-lang.org/ - Conception du langage L

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 2.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: SELinux

        Posté par  (site web personnel) . Évalué à 1.

        C'est quoi SELinux ?
        (Mon noyaux me dit tous le temp que je ne suis pas en mode SELinux au démarrage, ou un truc du genre, il me disais aussi qu'il avait besoin d'un dossier SELinux, jusqu'a ce que je le crée. Mais le dossier est vide ....)
  • # GRsecurity

    Posté par  . Évalué à 3.

    Il est possible de gerer l'acces au socket par groupe en utilisant le patch noyau GRsecurity.
    http://www.grsecurity.net/

    Cela permet d'autoriser l'acces uniquemement au utilisateur appartenant à un certain groupe, et donc de supprimer l'acces au réseau pour les autres.
  • # Merci a tous !

    Posté par  . Évalué à 2.

    J'avais pas pensé a IPTables, faut dire que je connaissais pas le -m owner :-S. Je vais aussi fouiller du côté de grsecurity !

    Merci a tous de m'avoir débloqué !
  • # sur le réseau

    Posté par  . Évalué à 1.

    Pour faire la même chose mais au niveau du réseau, en gérant les acls au niveau du firewall de l'entreprise et non pas au niveau des postes, on peut utiliser nufw ( http://nufw.org ).

    Alors on peut dire "Monsieur X ne peut pas faire telle chose sur le réseau, quel que soit le poste qu'il utilise".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.