bindprivs
Dawid Per
dape w vp.pl
Wto, 7 Gru 2004, 10:11:12 CET
Zbyniu Krzystolik napisal dnia 2004-12-02 09:42:
>Mniej wiecej Thu, Dec 02, 2004 at 08:22:33AM +0100, zainteresowany Jacek Konieczny rzekl:
>
>
>>On Wed, Dec 01, 2004 at 11:28:39PM +0100, Dawid Per wrote:
>>
>>
>>>A jakis zamiennik dla 2.6 ? Cos co pozwolilo by mi bez bolu ograniczyc
>>>userom hosty na irca (dobrze jesli takze te na IPv6).
>>>
>>>
>>Powinno to się dać przez SELinuksa zrobić. Ale to duuużo zabawy (czyt.
>>roboty).
>>
>>
>
>Albo przez grsecurity, ale to też sporo dłubania. Może też być RSBAC
>(nie mniej).
>
>Zbyniu
>
>
Jeśli by to kogoś zainteresowało to znalazłem proste rozwiązanie...
niestety nie działające na standardowym kernelu PLD :).
Oto i ono:
dla Ipv4 (to działa):
iptables -A OUTPUT -s ipv4.hosta.ktorego.chcemy.wykluczyc -m owner
--gid-owner id_grupy_ktora_nie_moze_korzystac -j DROP
iptables -A OUTPUT -s ipv4.hosta.ktorego.chcemy.wykluczyc -m owner
--cmd-owner id(login)_usera_ktory_nie_moze_korzystac -j DROP
po dojsciu do tego naturalne wydawalo mi sie uzycie ip6tables dla
'przyciecia' hostow na IPv6:
[root w hallera.kom.pl ~]# ip6tables -A OUTPUT -m owner -s 3ffe:4019:1e::1
--gid-owner 1000 -j DROP
ip6tables: Invalid argument
[root w hallera.kom.pl ~]# ip6tables -I OUTPUT -m owner -s 3ffe:4019:1e::1
--gid-owner 1000 -j DROP
ip6tables: Target problem
na początku wydawało mi się, że to ja coś źle robię - ale poprosiłem
kumpla żeby to na mandrake sprawdził i zadziałało bez błędów.
Może na następnym jajku (iptables ?) już będzie ok.
--
http://ipv6.dape.klodzko.pl
gg: 996994
mail: dape w N0SP4m.dape.klodzko.pl
--
No virus found in this outgoing message.
Checked by AVG Anti-Virus.
Version: 7.0.289 / Virus Database: 265.4.6 - Release Date: 2004-12-05
Więcej informacji o liście dyskusyjnej pld-users-pl