NFsec Logo

Zablokowanie połączeń wychodzących użytkownikom

12/07/2009 w Administracja Brak komentarzy.  (artykuł nr 93, ilość słów: 203)

J

eśli w systemie posiadamy użytkownika / grupę użytkowników (np. programistów), któremu / którym nie potrzebny jest „Internet”, ponieważ nasza maszyna pełni dla nich rolę produkcyjnej pod innym względem niż wykorzystanie jej łącza (np. kompilatory, oprogramowanie do obliczeń), to nie stoi nic na przeszkodzie, abyśmy zablokowali mu / im możliwość wykorzystania połączeń wychodzących.

Do tej funkcji możemy wykorzystać rozszerzenie owneriptables, które właśnie działa tylko na łańcuchu OUTPUT. Pozwala ono na blokadę połączeń wychodzących na podstawie numerze UID danego użytkownika lub GID danej grupy. Np. blokujemy Internet użytkownikowi o loginie: elzevier, który posiada UID = 696, oraz należy do grupy: programers o GID = 109 (grep -i users /etc/group):

iptables -A OUTPUT -p tcp -m owner --uid-owner 696 -j DROP

Możemy zablokować wyjście na świat, również całej grupie:

iptables -A OUTPUT -p tcp -m owner --gid-owner 109 -j DROP

Konkretny port / usługę (WWW):

iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner 696 -j DROP

Czy cały zakres portów:

iptables -A OUTPUT -p tcp --dport 1:1024 -m owner --uid-owner 696 -j DROP

Oprócz protokołu TCP, możemy zastosować także UDP oraz ICMP. W sposób ten, możemy również skutecznie zablokować wybrany program, który odpalany jest z uprawnieniami danego użytkownika.

Więcej informacji: Packet Filtering HowTo

Kategorie K a t e g o r i e : Administracja

Tagi T a g i : , , , ,

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.