Comment bloquer tout le trafic pour un utilisateur donné?
Je voudrais lancer un script sous UNIX avec des privilèges restreints. Plus précisément, je voudrais exécuter le code que j’ai reçu sans le laisser envoyer des données. Ma solution actuelle consiste à:
- Créez un utilisateur fictif.
- Utilisez
iptablespour bloquer tout le trafic sortant pour l’utilisateur factice. - Exécutez le programme cible en tant qu’utilisateur fictif, en utilisant
su - dummy -c 'command'.
La façon dont je réalise l’étape 2 ci-dessus est décrite dans cette page . Plus précisément, j’utilise la commande suivante pour append une nouvelle règle:
sudo iptables -I OUTPUT -m owner --uid-owner dummy -j DROP
Lorsque j’essaie maintenant de faire un ping sur une adresse Web en passant au compte factice, le ping échoue en effet car j’ai ajouté la règle à iptables. Voici cette commande:
> su - dummy -c 'ping www.google.com' ping: unknown host www.google.com
Même chose pour la tentative d’utilisation de traceroute . Cependant, lorsque j’essaie d’envoyer un courrier électronique de la même manière avec mutt , cela réussit:
- Comment append plusieurs ips à un script shell iptables?
- IPTables – bloque un port à une condition spécifique
- Comment bloquez-vous dynamicment les adresses IP à l’intérieur d’Apache?
- Problème DNS – la résolution se résout mais curl ne peut pas se connecter à l’hôte
- Comment puis-je ouvrir un port dans iptables pour SVN?
su - dummy -c 'echo "test" | mutt -s test [emailaddress]'
Pourquoi la règle ne bloque-t-elle pas cela, et plus généralement, comment puis-je m’assurer que tout le trafic sortant est bloqué pour le programme que je cours?
- Limiter le nombre maximal de connexions HTTP simultanées par IP en supprimant les anciennes connexions
- Serveur Apache en tant que proxy utilisant iptables
- iptables: bloque le trafic entrant uniquement pour un domaine apache VirtualHost
- MySQL on LAN ne fonctionne pas lorsque les IPTables sont activés
- comment faire fonctionner tomcat en https et port 80?
Voici un guide pour la mise en place d’une prison chroot, dont vous semblez avoir besoin.
https://help.ubuntu.com/community/BasicChroot
Cela vous permet de contrôler quelles commandes peuvent être exécutées, vous pouvez limiter l’access des utilisateurs à des choses comme Mutt sans problème. Vous accordez l’access, vous n’avez pas besoin de savoir quoi refuser. Parce que toutes les commandes sont bloquées par défaut. Cela rend la mise en place beaucoup plus simple.
mutt utilise un serveur de messagerie pour envoyer le courrier électronique, et ce n’est probablement pas le cas avec le uid de dummy.
- Impossible de se connecter à Postgres via PHP mais peut se connecter depuis la ligne de commande et PgAdmin sur une autre machine
- Comment définir Robots.txt ou Apache pour autoriser les robots d’exploration uniquement à certaines heures?
- SSL installé sur Apache2 mais HTTPS ne fonctionne pas
- Le conteneur Docker ne peut pas résoudre les noms de sites Web, mais peut envoyer une requête ping à leur adresse IP
- Le site réalisé avec mod_wsgi-express prend trop de temps pour répondre
- Comment bloquer Youtube par iptables
- iptable pour le transfert de port
- Port d’ouverture pour Postgresql
- Mysql distant abandonne toutes les connexions et n’autorise que localhost et l’adresse IP
- SVN ne fonctionne pas car IPTABLES a changé