Un parefeu qui filtre sur les utilisateurs

Posté par Jean-Yves B. le 14 mai 2002 à 16:11. Modéré par Fabien Penso.

Étiquettes :

mai

2002

pf, le pare feu d'OpenBSD, accepte désormais des règles de filtrage basée sur l'uid et le gid associés à un socket.

Ainsi, on peut réserver l'accès au port 22 à un groupe d'utilisateurs seulement. Ou limiter au groupe daemon l'attente de connection sur un port ou un autre !

Il ne manque plus que l'ouverture de port réservée à un processus dont le code objet correspond à une certaine somme de contrôle ! ;)

Aller plus loin

La news sur deadly (3 clics)
Historique CVS associé (2 clics)

# et netfilter..

Posté par Olivier le 14 mai 2002 à 17:04. Évalué à 10.

ça fait un petit bout de temps que ça existe (mais c'est encore expérimental, certes)

On a donc les options :
--uid-owner, --gid-owner, --sid-owner, --pid-owner, --cmd-owner

Cette option de netfilter n'est valable que dans la chaîne OUTPUT

Plus d'infos : man iptables :)
- [^] # Re: et netfilter..
  
  Posté par Jean-Yves B. le 14 mai 2002 à 18:18. Évalué à 10.
  
  J'avais cru comprendre que cela ne fonctionnait que sur les flux sortants avec netfilter.
  
  This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match
  
  Dans le cas de pf, c'est basé sur les credentials associés au socket correspondant.
  
  Ce qui fait que l'on peut n'autoriser que certains groupes à recevoir sur tel ou tel port, ce que netfilter ne permet pas.
# Question sur les uid, gid et cie.

Posté par benja le 14 mai 2002 à 20:41. Évalué à 6.

J'ai quelques questions pour les administateurs systeme avertis qui fréquentent ce site : Comment concevoir une politique de permission basée sur les uid/gid dans un réseau ? ou Comment avoir un fichier passwd cohérent au niveau de l'attribution d'un uid à un utilisateur physique au sein d'un lan (pour nfs par ex) ? Quelles sont les solutions pratiques sous GNU/linux ? Bref, j'aimerais bien quelques précisions car j'avoue que je demeure dans le flou :-)
- [^] # Re: Question sur les uid, gid et cie.
  
  Posté par Vivi (site web personnel) le 14 mai 2002 à 21:05. Évalué à 0.
  
  NIS ?
  - [^] # Re: Question sur les uid, gid et cie.
    
    Posté par Vanhu le 14 mai 2002 à 22:48. Évalué à 7.
    
    LDAP !!!! http://www.openldap.org www.padl.com/pam_ldap.html
    - [^] # Re: Question sur les uid, gid et cie.
      
      Posté par bmc le 15 mai 2002 à 01:24. Évalué à -1.
      
      Quel est l'intérêt de LDAP par rapport à une base SQL ou à un fichier XML ou n'importe quoi d'autre ? J'ai toujours eu du mal à comprendre ce qu'on pouvait bien lui trouver de formidable. Non je n'ai pas cherché :p
      - [^] # Re: Question sur les uid, gid et cie.
        
        Posté par feth le 15 mai 2002 à 06:41. Évalué à -3.
        
        J'ai toujours eu du mal à comprendre ce qu'on pouvait bien lui trouver de formidable. T'es bouché ou quoi ? C'est mieux. Un point c'est tout, et arrête de poser des questions idiotes. -- i²
      - [^] # Re: Question sur les uid, gid et cie.
        
        Posté par Vanhu le 15 mai 2002 à 09:06. Évalué à 5.
        
        Quel est l'intérêt de LDAP par rapport à une base SQL ou à un fichier XML ou n'importe quoi d'autre ? Simple: c'est fait pour ca ! Tu as tout ce qu'il faut, et rien de plus (on va dire pas grand chose), avec le protocole réseau pour faire les requètes, l'organisation hiérarchique propre, possibilité de découper ton arborescence LDAP sur plusieurs serveurs, etc.... Cela sans la "lourdeur" d'une base SQL (au passage, LDAP utilise des "backends" pour stocker ses données, et SQL est l'un des backends possibles).
      - [^] # Re: Question sur les uid, gid et cie.
        
        Posté par Sebastien le 16 mai 2002 à 13:41. Évalué à 1.
        
        LDAP offre une réprensation arborescente. C'est beaucoup plus pratique pour modeliser un annuaire qu'une table classique de SGBD.
        De plus, LDAP est un protocole très simple et leger, ce qui facilite son integration dans le SI.
- [^] # Re: Question sur les uid, gid et cie.
  
  Posté par Def le 15 mai 2002 à 10:14. Évalué à 1.
  
  NIS sans aucun doute voir http://www.linuxfocus.org/English/July2001/article148.shtml , ça te permet d'avoir un fichier utilisateur central. C'était utilisé à la Miage de Paris XII.
  - [^] # Re: Question sur les uid, gid et cie.
    
    Posté par quad le 15 mai 2002 à 14:10. Évalué à 6.
    
    NIS c'est bien pratique, mais c'est une techno vieillote, surtout en ce qui concerne la sécurité. En environnement hétérogène, les options de shadow password NIS implantées dans la version de linux ne peuvent pas être utilisées. On se retrouve donc avec du NIS classique et un p'tit ypcat de la map passwd permet de récupérer les hashing des mots de passe et cela fait de la bonne soussoupe pour crack ou john the ripper (il faut juste connaître le nom de domaine NIS) NIS est aussi vulnérable par une attaque "man in the middle", envoie les maps complètes aux masters slaves NIS au lieu de faire un bête différentiel, ... A utiliser uniquement donc si l'aspect sécurité est relégué dans les profondeurs. NIS+ c'est beaucoup mieux, mais c'est plus balèze à administrer.
# pf ya du boulot

Posté par Alexandre T. le 15 mai 2002 à 10:22. Évalué à 2.

Dommage j'ai du patcher mon openbsd 3.0 pour revenir a ipf qui sait translater le pptp (eh oui j'ai besoin de ca) A part ca le ftp-proxy c'est vraiment lourd par rapport au module ftp d'iptables Voila, c'etait mes critiques :p a+
- [^] # Re: pf ya du boulot
  
  Posté par spim le 15 mai 2002 à 17:49. Évalué à 2.
  
  L'avantage c'est que tu peux creer ton propre proxy sans pour autant que cela soit inclu ds les sources de pf.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.