nixp.ru v3.0

23 января 2017,
понедельник,
17:56:40 MSK

DevOps с компанией «Флант»
tagrip написал 10 июня 2006 года в 11:42 (335 просмотров) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 4 комментария на сайте.

Сколько не искал, ответа на свой вопрос найти так и не смог. Хочется добиться параноидальной безопасности при использовании сети в линуксе. Используя политику в iptables 'все что явно не разрешено — запрешено' ставлю на все цепи по умолчанию DROP. Но тогда возникает проблема. Порты для входящего трафика сервисов вроде ssh или ftp открыть не проблема. А исходящего? А как определить на какой порт полезет браузер? Подумал. Поискал. Нашел модуль owner. Попробовать не удалось: —cmd-owner в последних ядрах ветки 2.6 нагло обрезали. Использование —*id-owner тк вышеупомянутый браузер запущен не постоянно, соответственно при установке правил на старте системы он id не имеетю.

з.ы. Просьба при отправлении на читку man bash указывать конкретную точку, а решений вроде 'юзай firestarter' не предлагать.

Genie

ну, —gid-owner покрути. может что тебе даст использование именно этого параметра.

к примеру, все программы, которые имеют доступ в сеть, имеют set gid и группу inet. тогда сделать разрешение на выход — просто.

хуже — для транзитного трафика, на шлюзе, сгенерированного на другом компе, но это в данном случае не актуально ;)

tagrip

а варианты без использования этого модуля возможны?

и как добавлять приложение в группу? А то я с таким никогда не сталкивался…

Genie
а варианты без использования этого модуля возможны?

нуу… выключенный компьютер и не подключённый к сети — самы защищённый..

только работать на нём затруднительно, а? ;)

по написанному тобой — вроде других вариантов не особо и есть…

и как добавлять приложение в группу? А то я с таким никогда не сталкивался…

ну посмотри, к примеру, на pppd

правда, несколько не тот пример, так как у него выставлено set user id при исполнении и группа dip (или какая там)…

аналогично можно установить set group id при исполнении — man chmod.

# FF=`which firefox`; chgrp inet $FF; chmod g+s `which firefox`

(ну, это приблизительно)

и потом

# iptables -A OUTPUT -m owner --gid-owner inet -j ACCEPT

если пользователь будет принадлежать группе inet — то он сможет пользоваться сетевыми ресурсами из firefox.

в общем, читай маны по упомянутым командам и спрашивай, что не понял.

tagrip

bash-3.00# iptables -A OUTPUT -m owner —gid-owner inet -j ACCEPT

iptables: Invalid argument

Нечего не понимаю.

Genie

ты группу-то такую создать не забыл?

tagrip
Genie
ты группу-то такую создать не забыл?

конечно не забыл! все сделал… а результат такой вот

Genie

обнови, наверное, ядро и iptables….

потому как у меня этот пример срабатывает «на ура»….

rgo
tagrip
конечно не забыл! все сделал… а результат такой вот

в ядре включил модуль owner для iptables? ;)

tagrip
rgo
в ядре включил модуль owner для iptables? ;)

угу) включил конечно… странно…

версия iptables 1.3.3

версия ядра 2.6.15#6

Genie

оно, конечно, действительно — странно..

iptables — тоже 1.3.3

kernel, правда — 2.6.16.18 (.20 всё никак не соберусь собрать, да и то, не особо и надо….)

подгрузи ручками ipt_owner и попробуй снова.

может ты просто не включил ядерную автоподгрузку модулей… и потому может не работать.

REDkiy
а варианты без использования этого модуля возможны?

и как добавлять приложение в группу? А то я с таким никогда не сталкивался…

возможно это пригодится:

протокол — порт

http — 80

https — 443

ftp — 21

pop — 110

smtp — 25

imap — 143

telnet — 23

ssh — 22

socks — 1080

ssl — 995

gmail на свой smtp пускает через — 587

порт для icq — 5190

Патчи принимаются.

rgo
протокол — порт



cat /etc/services

;)

REDkiy
cat /etc/services

Ну да,вот только в Виндах такое не катит,писал по памяти 8-).

Genie

где-то в районе

C:\WINDOWS\system32\drivers\etc\services

REDkiy
где-то в районе

C:\WINDOWS\system32\drivers\etc\services

Ты знал!

Чёрт,я ламер! 8-)

Genie

конечно, я знал.

там же и hosts находится файл.

в который можно прописывать локальные изменения для соответствия ip<->fqdn

REDkiy
конечно, я знал.

там же и hosts находится файл.

в который можно прописывать локальные изменения для соответствия ip<->fqdn

Я пошуршал там по папке и тоже теперь знаю 8-)

Спасибо 8-)

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.