Subject: Re: iptables-regler för användare + root

Re: iptables-regler för användare + root

From: Anders Sundman <anders_at_4zm.org>
Date: Mon, 13 Jun 2011 11:15:15 +0200

On 2011-06-07 03:10, Mikael Fridh wrote:
> 2011/6/7 Anders Sundman <anders_at_4zm.org>:
>> Ett undantag r NTP som jag vill kunna kra fr att stta tiden. Jag
>> vill dremot inte ppna upp port 123 helt, eftersom jag endast vill
>> anvnda hlet explicit. Min tanke var att skapa en speciell anvndare
>> fr NTP och ha regler som slpper ut trafik fr den anvndaren:
>>
>> [...]
>>
>> Ntverksbiten fungerar prima. Problemet r att man mste vara root fr
>> att stta tiden. Allts kan man inte vara ntpuser. Jag vill inte grna
>> att root ska f grddfil i iptables - s vad gra?
>
> [...]
>
> Min frsta tanke blir
> * skapa regeln p --gid-owner ntpgroup istllet och kr sudo -u root
> -g ntpgroup ntpdate -u ntp.ubuntu.com
>
> Eftersom du r root br du f uppdatera klockan, och eftersom du r
> ntpgroup br du f komma ut via iptables.
> Uppdatera sudoers drefter.
>
> [...]
>
> Lycka till dock. Jag r nyfiken p slutlig lsning.

Ok, nu fungerar allt. Stort tack.

For the record, hr r den slutliga lsningen.

Anvnder gruppen som tag fr att kra 'su'-kedjan i iptables:

[0:0] -N su
[0:0] -A su -p TCP --dport ntp -j ACCEPT
[0:0] -A su -j RETURN
[0:0] -A OUTPUT -m owner --gid-owner ntpgroup -j su

Kr nptdate (eller sntp) som root och kan allts stta tiden men med
gruppen ntpgroup fr att komma ut genom brandvggen:

$ sudo -u root -g ntpgroup -u ntp.ubuntu.com

Fr att detta skall fungera mste man ven lgga till fljande till
/etc/sudoers:

> myuser ALL=(myuser:ntpgroup) /usr/sbin/ntpdate

// Anders
_______________________________________________
http://foss-sthlm.haxx.se/
http://cool.haxx.se/cgi-bin/mailman/listinfo/foss-sthlm
Received on 2011-06-13