Subject: iptables-regler för användare + root

iptables-regler för användare + root

From: Anders Sundman <anders_at_4zm.org>
Date: Tue, 07 Jun 2011 00:34:55 +0200

Jag har klurat p ett problem fr min Ubuntu-installation ett tag utan
att komma p ngon riktigt bra lsning; kanske r det ngon hr p
listan som har ngra tips eller rent av har lst exakt samma problem
ngon gng.

Iptables r konfigurerat s att det mesta r blockerat eller omdirigerat
(fr alla anvndare).

Ett undantag r NTP som jag vill kunna kra fr att stta tiden. Jag
vill dremot inte ppna upp port 123 helt, eftersom jag endast vill
anvnda hlet explicit. Min tanke var att skapa en speciell anvndare
fr NTP och ha regler som slpper ut trafik fr den anvndaren:

[0:0] -N su
[0:0] -A su -p TCP --dport ntp -j ACCEPT
[0:0] -A su -p UDP --dport ntp -j ACCEPT
[0:0] -A su -j RETURN
[0:0] -A OUTPUT -m owner --uid-owner ntpuser -j su

Sedan kan man kra:
$ sudo -u ntpuser ntpdate -u ntp.ubuntu.com

fr att stta tiden och inga andra (ex. andra applikationer) kommer t
port 123 eftersom dom inte krs av ntpuser. Hur bra som helst. Det var
vad jag trodde, iaf..

Ntverksbiten fungerar prima. Problemet r att man mste vara root fr
att stta tiden. Allts kan man inte vara ntpuser. Jag vill inte grna
att root ska f grddfil i iptables - s vad gra?

// Anders

PS. Hoppas att detta inte r offtopic. Det handlar trots allt om
kernelbrandvggen.
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-07