Jag har klurat på ett problem för min Ubuntu-installation ett tag utan
att komma på någon riktigt bra lösning; kanske är det någon här på
listan som har några tips eller rent av har löst exakt samma problem
någon gång.
Iptables är konfigurerat så att det mesta är blockerat eller omdirigerat
(för alla användare).
Ett undantag är NTP som jag vill kunna köra för att sätta tiden. Jag
vill däremot inte öppna upp port 123 helt, eftersom jag endast vill
använda hålet explicit. Min tanke var att skapa en speciell användare
för NTP och ha regler som släpper ut trafik för den användaren:
[0:0] -N su
[0:0] -A su -p TCP --dport ntp -j ACCEPT
[0:0] -A su -p UDP --dport ntp -j ACCEPT
[0:0] -A su -j RETURN
[0:0] -A OUTPUT -m owner --uid-owner ntpuser -j su
Sedan kan man köra:
$ sudo -u ntpuser ntpdate -u ntp.ubuntu.com
för att sätta tiden och inga andra (ex. andra applikationer) kommer åt
port 123 eftersom dom inte körs av ntpuser. Hur bra som helst. Det var
vad jag trodde, iaf..
Nätverksbiten fungerar prima. Problemet är att man måste vara root för
att sätta tiden. Alltså kan man inte vara ntpuser. Jag vill inte gärna
att root ska få gräddfil i iptables - så vad göra?
// Anders
PS. Hoppas att detta inte är offtopic. Det handlar trots allt om
kernelbrandväggen.
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-07