Journal ACL réseau sous linux

• # man iptables :)

  Posté par symoon le 12 janvier 2006 à 15:23. Évalué à 6.

  

  pour autoriser toto à contacter des hôtes sur le port 80 :
  iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner toto -j ACCEPT

  • [^] # Commentaire supprimé

    Posté par Anonyme le 12 janvier 2006 à 15:50. Évalué à 2.

    

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: man iptables :)

      Posté par LaBienPensanceMaTuer le 12 janvier 2006 à 16:07. Évalué à 3.

      

      En fait, dans le cas de l'utilisation de la règle:
      
      iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner toto -j ACCEPT
      
      
      Il est effectivement necessaire d'avoir une politique à DROP.
      Par contre, dans son cas, il semblerait qu'il souhaite interdire les connexions réseaux à un utilisateur particulier, donc je mettrai plutot:
      
      iptables -P OUTPUT ACCEPT
      iptables -I OUTPUT 1 -m owner --uid-owner toto -j REJECT
      

      • [^] # Re: man iptables :)

        Posté par GP Le (site web personnel) le 13 janvier 2006 à 00:32. Évalué à 1.

        

        C'est probablement une belle enclume à mouche dans ton cas, mais http://www.nufw.org/index.php3?lang=fr reponds a ton besoin.

• # SELinux

  Posté par Matthieu Lemerre (site web personnel) le 12 janvier 2006 à 16:27. Évalué à 1.

  

  Je pense que c'est le genre de trucs qu'on est capable de faire avec SELinux.

  http://l-lang.org/ - Conception du langage L

  • [^] # Commentaire supprimé

    Posté par Anonyme le 12 janvier 2006 à 16:31. Évalué à 2.

    

    Ce commentaire a été supprimé par l’équipe de modération.

    • [^] # Re: SELinux

      Posté par phoenix (site web personnel) le 12 janvier 2006 à 16:55. Évalué à 1.

      

      C'est quoi SELinux ?
      (Mon noyaux me dit tous le temp que je ne suis pas en mode SELinux au démarrage, ou un truc du genre, il me disais aussi qu'il avait besoin d'un dossier SELinux, jusqu'a ce que je le crée. Mais le dossier est vide ....)

      • [^] # Re: SELinux

        Posté par Colin Pitrat (site web personnel) le 12 janvier 2006 à 17:29. Évalué à 3.

        

        Security Enhanced Linux :
        http://www.nsa.gov/selinux/
        
        En résumé, c'est un assortiment de patchs du noyau Linux et d'utilitaires conçu autours d'un système de contrôle d'accès obligatoire développé initialement par la NSA.

• # GRsecurity

  Posté par Gnaphron le 12 janvier 2006 à 17:43. Évalué à 3.

  

  Il est possible de gerer l'acces au socket par groupe en utilisant le patch noyau GRsecurity.
  http://www.grsecurity.net/
  
  Cela permet d'autoriser l'acces uniquemement au utilisateur appartenant à un certain groupe, et donc de supprimer l'acces au réseau pour les autres.

• # Merci a tous !

  Posté par gronk34 le 12 janvier 2006 à 18:50. Évalué à 2.

  

  J'avais pas pensé a IPTables, faut dire que je connaissais pas le -m owner :-S. Je vais aussi fouiller du côté de grsecurity !
  
  Merci a tous de m'avoir débloqué !

• # sur le réseau

  Posté par Jean le 13 janvier 2006 à 10:13. Évalué à 1.

  

  Pour faire la même chose mais au niveau du réseau, en gérant les acls au niveau du firewall de l'entreprise et non pas au niveau des postes, on peut utiliser nufw ( http://nufw.org ).
  
  Alors on peut dire "Monsieur X ne peut pas faire telle chose sur le réseau, quel que soit le poste qu'il utilise".

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.