Subject: Re: iptables-regler för användare + root

Re: iptables-regler för användare + root

From: Anders Sundman <anders_at_4zm.org>
Date: Tue, 07 Jun 2011 09:29:10 +0200

On Tue, 7 Jun 2011 03:10:51 +0200, Mikael Fridh <frimik_at_gmail.com> wrote:
> 2011/6/7 Anders Sundman <anders_at_4zm.org>:
>> [...]
>> [0:0] -A OUTPUT -m owner --uid-owner ntpuser -j su
>>
>> $ sudo -u ntpuser ntpdate -u ntp.ubuntu.com
>> [...]
>> Ntverksbiten fungerar prima. Problemet r att man mste vara root fr
>> att stta tiden. Allts kan man inte vara ntpuser. Jag vill inte grna
>> att root ska f grddfil i iptables - s vad gra?
>
> Min frsta tanke blir
> * skapa regeln p --gid-owner ntpgroup istllet och kr sudo -u root
> -g ntpgroup ntpdate -u ntp.ubuntu.com
>
> Eftersom du r root br du f uppdatera klockan, och eftersom du r
> ntpgroup br du f komma ut via iptables.
> Uppdatera sudoers drefter.

Tack! Ditt fiffiga frslag knns uppenbart i efterhand och det r ofta en
bra ledtrd till att man r p rtt vg.

> Av nyfikenhet och som motstndare till "ntpdate -u"-krningar i roots
> crontab undrar jag varfr du vill kra ntpdate ht istllet fr ntpd?

ntpdate skall inte kras av cron utan manuellt av anvndaren genom att
klicka p en ikon. Jag har ett lite ovanligt use case med Live CD, dr anv.
mste bekrfta med en (zenity)-dialog att NTP verkligen skall kra.

> Lycka till dock. Jag r nyfiken p slutlig lsning.

Jag terkommer nr jag testat.

// Anders
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-07