firewall-init
Marek Guevara Braun
mguevara w acn.waw.pl
Sob, 25 Paź 2003, 23:11:41 CEST
Andrzej Krzysztofowicz wrote:
> Marek Guevara Braun wrote:
>>Andrzej Krzysztofowicz wrote:
>>>Zaznacze, ze chodzi o takie pliki, do ktorych mozna dac prawa userom, aby
>>>mogli poprawiac ustawienia firewalla nie dostajac jednoczesnie praw roota.
>>
>>Czy sudo na /usr/sbin/iptables dla wybranych userów nie załatwi sprawy?
>
> Nie, bo w skryptach jest wolane iptables, a nie sudo iptables.
A co broni by taki power user robił wpisy sudo iptables?
> I chodzi o poprawianie _konfiguracji_ firewalla tak, by nie mogli nic poza
> firewallem zepsuc.
Rozumiem, ale tworzenie dedykowanego interpretera konfiguracji może być
albo bardzo złożone, gdy chcielibyśmy dać userom narzędzie elastyczne na
miarę iptables/ebtables, albo też dość proste w wykonaniu, ale
ograniczające funkcjonalność -- tu można bezpośrednio brać
rozwiązanie z firewall-init z Ra i dodać tylko weryfikację wszystkich
przekazywanych z konfiga wartości, coby nikt ';rm -rf /' jako parametr
firewalla nie podał ;-)
Co do psucia przez userów poza firewallem, to przy dawaniu userom prawa
do wywoływania skryptów z 'sudo ${iptables} ..' trzeba pamiętać by
skrypty te nigdy nie były wykonywane przez root-a, a tylko przez tego
usera.
Pozdrawiam,
Marek
Więcej informacji o liście dyskusyjnej pld-devel-pl