firewall-init
Marek Guevara Braun
mguevara w acn.waw.pl
Nie, 26 Paź 2003, 02:03:34 CEST
Radoslaw Kojdecki wrote:
> On Sun, 26 Oct 2003, Marek Guevara Braun wrote:
>>
>>Jeśli chcesz by konfiguracja wprowadzona przez usera była wywoływana
>>automatycznie przez init-skrypty to zawsze można umieścić
>>w strukturze /etc/sysconfig/firewall-users/{benio,jasio,grzes}
>>a skrypt firewall przed wykonaniem poleceń z odpowiednich
>>skryptów przyjmowałby euid/egid danego usera - wtedy sudo na iptables
>>musiało by być bezhasłowe.
>
> A nie prosciej zrobic parsera ktory sprawdzi poprawnosc wpisow, wygeneruje
> drugi plik o scisle okreslonym formacie a nastepnie ten plik podawac
> firewallowi na prawach roota ?
Tak. Trzeba będzie uwzględnić wszystkie możliwe wariacje (w sensownym
zakresie, czywiście) opcji wszystkich wspieranych modułów iptables,
iptables6, ebtables (?) i mieć jakiś prosty mechanizm weryfikacji czy
user ma prawo do wywołania tej funkcji (mogą to załatwic prawa do zapisu
w pliku/katalogu, wpis w pliku konfiguracyjnym, lub podejście "wszyscy
mogą") - daje to dodatkowy poziom zabezpieczenia przed szkodliwymi
działaniami użytkownika.
P,
Marek
Więcej informacji o liście dyskusyjnej pld-devel-pl