firewall-init
Andrzej Krzysztofowicz
ankry w green.mif.pg.gda.pl
Sob, 25 Paź 2003, 23:15:48 CEST
Marek Guevara Braun wrote:
> Andrzej Krzysztofowicz wrote:
> > Marek Guevara Braun wrote:
> >>Andrzej Krzysztofowicz wrote:
> >>>Zaznacze, ze chodzi o takie pliki, do ktorych mozna dac prawa userom, aby
> >>>mogli poprawiac ustawienia firewalla nie dostajac jednoczesnie praw roota.
> >>
> >>Czy sudo na /usr/sbin/iptables dla wybranych userów nie załatwi sprawy?
> >
> > Nie, bo w skryptach jest wolane iptables, a nie sudo iptables.
>
> A co broni by taki power user robił wpisy sudo iptables?
>
> > I chodzi o poprawianie _konfiguracji_ firewalla tak, by nie mogli nic poza
> > firewallem zepsuc.
>
> Rozumiem, ale tworzenie dedykowanego interpretera konfiguracji może być
> albo bardzo złożone, gdy chcielibyśmy dać userom narzędzie elastyczne na
> miarę iptables/ebtables, albo też dość proste w wykonaniu, ale
> ograniczające funkcjonalność -- tu można bezpośrednio brać
Jak bardzo bedzie ograniczalo funkcjonalnosc uzycie jako skladni pliku
konfiguracyjnego - skladni linii polecen dla iptables.
Taka propozycja padla, nikt sie do niej nie ustosunkowal.
Cos sie przy niej traci? Co konkretnie - przyklady.
> rozwiązanie z firewall-init z Ra i dodać tylko weryfikację wszystkich
> przekazywanych z konfiga wartości, coby nikt ';rm -rf /' jako parametr
> firewalla nie podał ;-)
Tego akurat mozna latwo uniknac.
> Co do psucia przez userów poza firewallem, to przy dawaniu userom prawa
> do wywoływania skryptów z 'sudo ${iptables} ..' trzeba pamiętać by
> skrypty te nigdy nie były wykonywane przez root-a, a tylko przez tego
> usera.
Jak proponujesz to zagwarantowac?
konfiguracja firewalla zalezna nie od systemu, ale od usera, ktory wola
skrypty startowe? Paranoja.
Wlasnie do unikniecia tego daze: do _separacji_ skryptow i konfiguracji.
Jak ktos chce uzywac wlasnych skryptow, to mu niepotrzebne init.d/firewall*
- moze uzywac wlasnego. Mozemy nawet takie rozwiazanie wspierac, ale IMVHO,
nie jako podstawowe.
--
=======================================================================
Andrzej M. Krzysztofowicz ankry w mif.pg.gda.pl
phone (48)(58) 347 14 61
Faculty of Applied Phys. & Math., Gdansk University of Technology
Więcej informacji o liście dyskusyjnej pld-devel-pl