Archief - Enkele vraagjes : iptables en sshd

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
H

Heronic

Legacy Member
Het is voor een server die ik vanop afstand zal moeten beheren.

1. Hoe gebruik ik in iptables hele blocks? 111.111.0.0/111.111.255.255 ??

2. in iptables als de filter table default policy drop is dan loopt elk packet van boven naar beneden tot een match is gevonden die allow geeft anders word het gedropt ja. Nu voor de/een (zie verder) shell moet ie bij ip match jumpen naar een lijn waar ook het mac adress moet matchen. (user defined chain)
nu.. staat die lijn bij de andere lijnen..? dus als em geen match heeft op ip maar wel op mac is het ook allow? of moet die eerst een match op ip hebben (zoals de bedoeling is) om dan pas te kijken of em daar ook een lijn heeft?

3. is het niet beter om 2x sshd te draaien, 1x op een poort waarvoor ik de iptables vraag stelde om daar te kunnen inloggen met admin account
en een andere waar iedereen met z'n account kan inloggen maar geen admins? Of zijn daar betere manieren voor?

4. Is het mogelijk om de 'toegestane' commando's van de users (ssh) te definieren? Ze moeten slechts 2 commando's kunnen doen (een restart, en start commando) en hoe?

alle hulp welkom.
C

Calvin

Legacy Member
Normaal gezien kunt ge in iptables netwerken definiëren gelijk:
192.168.0.1/24 => 192.168.0.1 t.e.m. 192.168.0.255
voor 111.111.0.0 tot 111.111.255.255 kunt ge dus: 111.111.0.0/16 doen.
Hopelijk kent ge iets over ip-adressen en subnetmasks want da's toch wel vrij belangrijk voor hetgeen ge wilt doen.
googlen gelijk zot en ge vind alzekerst ene hoop tutorials en man-pages hierover.

Trouwens, IP-tables gaat over ip, 'k weet niet of ge ook mac-adressen kunt gebruiken in de rules die ge opsteld, 'k vermoed van niet. Daarvoor hebt ge ene mac-filter nodig gelijk dat op vele routers wordt gebruikt.

En twee ssh daemons draaien lijkt me nogal vreemd. Uw iptables rules blijven sowieso dezelfde volgens mij.
Ge kunt misschien wel een generiek iptables script maken dat ge draait bij het starten van de pc en dan kunt ge voor elke user die aanlogt een specifiek iptables script runnen maar de'r kan maar één tegelijk lopen hé. (denk ik)

Ge kunt uwe sshd wel wijsmaken dattem op verschillende poorten moet luisteren via z'n config script dat ergens in /etc zou moeten staan.

Wat betreft de commando's, voor elk commando of file (alles zijn files in linux,unix) kunt ge user-rechten aanpassen met chmod en chown. Dan zet ge alle users die een bepaald commando moeten kunnen uitvoeren in ne group en zorgt ge dat die group execute-rechten heeft voor dat commando.

Hmm, 't is gene vette qua uitleg maar toch al een begin é.

véél meer en betere info is te vinden op bv: linux.be, linuxquestions.org, ...

groets,
Lieven
H

Heronic

Legacy Member
Over ip tables heb ik inderdaar een tutorial en die is vrij duidelijk.. en het is ook daar dat ik gelezen heb dat je idd op mac adress kan filteren en voor uitgaande (inkomende weet ik niet heb eens hetgene ik wou weten gelezen wat me deze vraag opleverde) kan je zelfs op iud of gid filteren.

Ivm de shell : het is idd de bedoeling users in een groep te steken, maar ook om hen ENKEL commando's te laten gebruiken, zelfs tar niet.
./restart en ./start meer niet. Wat ik ook wou weten, als je in je shell 'root inloggen diabled' kan je dan als andere user (niet in de voorgaande groep) su root gebruiken?
Q

QplQyer

Legacy Member
Misschien een idee om ze in een chrooted environment te steken (zo noemt dat toch é?).
waarbij die users als ze inloggen in een "valse" root terechtkomen, dan kun je in die /bin ervan de commando's steken.
Het idee is eigenlijk om de / voor die users te veranderen naar een dir, bv /home/restrictedusers
en dan als ze cd / doen komen ze uit in /home/restrictedusers, ze hebben dus geen mogelijkheid om aan de hogerliggende directories te geraken, je maakt dan een /bin en dergelijke daar aan en daar steek je de commando's in die je ze wilt laten gebruiken.

Eens googlen op jail root, chrooted environment en zulke toestanden kan wel wat opleveren.
d

dJeez

Legacy Member
QplQyer zei:
Misschien een idee om ze in een chrooted environment te steken (zo noemt dat toch é?).
Klik om te vergroten...

Ja, da's een chroot (jail). Maar ik denk dat het dan net zo makkelijk (of misschien zelfs makkelijker) is om een aparte shell te gebruiken, vb. een menu based shell zoals pdmenu. Zet die gewoon als de default shell voor die gebruikers en 't is enkel dat menuutje dat ze dan te zien krijgen... Zorg er dan uiteraard wel voor dat enkel die 2 scripts in 't menuutje staan (en geen andere shell zoals bash :p).
H

Heronic

Legacy Member
mja de 2 commands slaan voor elke user op andere processe.. ik denk niet dat dat gaat met pdmenu
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan