Re: iptables : interdire certaines choses à root...possible ????
OoO Lors de la soirée naissante du mardi 15 août 2006, vers 18:22, Jean Baptiste BALLEYGUIER [EMAIL PROTECTED] disait: J'ai juste un problème : il suffit de lancer un navigateur en tant que root pour que les règles iptables soient contournées. J'aimerai savoir comment faire pour que root obéisse aussi aux règles iptables (si c'est possible) ou s'il est possible d'interdire à root de lancer des programmes bien ciblés, comme les navigateurs par exemple. Comme j'ai mis ce filtre en local, pour mon usage perso, la protection est assez faible, puisque c'est moi qui ait le mot de passe root !! A mon avis, ce n'est pas comme ça qu'il faut procéder. Tu devrais plutôt regarder des choses comme SELinux (dispo sur Debian). Cela te permettra de préciser la politique de sécurité de ton système de manière plus globale et pourra par exemple interdire à root de lancer un navigateur. Cependant, c'est un système assez compliqué. -- BOFH excuse #241: _Rosin_ core solder? But... -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
iptables : interdire certaines choses à root...possible ????
Bonjour,je viens de configurer dansguardian/tinyproxy avec des règles de redirection iptables, à partir de tutos que j'ai trouvé là : http://lists.debian.org/debian-user-french/2006/04/msg01654.htmlles règles iptables : http://lists.debian.org/debian-user-french/2006/04/msg01662.html (j'ai mis le port 3128, et un user tinyproxy)J'ai juste un problème : il suffit de lancer un navigateur en tant que root pour que les règles iptables soient contournées. J'aimerai savoir comment faire pour que root obéisse aussi aux règles iptables (si c'est possible) ou s'il est possible d'interdire à root de lancer des programmes bien ciblés, comme les navigateurs par exemple. Comme j'ai mis ce filtre en local, pour mon usage perso, la protection est assez faible, puisque c'est moi qui ait le mot de passe root !! Est-ce qu'il y a une solution ?Jean Baptiste Balleyguierun vrai manchot au pays du pingouin...
Re: iptables : interdire certaines choses à root...possible ????
Mardi 15 août 2006, 18:22:19 CEST, Jean Baptiste BALLEYGUIER a écrit : Bonjour, 'soir, je viens de configurer dansguardian/tinyproxy avec des règles de redirection iptables, à partir de tutos que j'ai trouvé là : http://lists.debian.org/debian-user-french/2006/04/msg01654.html les règles iptables : http://lists.debian.org/debian-user-french/2006/04/msg01662.html (j'ai mis le port 3128, et un user tinyproxy) Donc, tu as : # seul tinyproxy est autorisé à passer directement iptables -t nat -A OUTPUT -p tcp --dport www \ -m owner --uid-owner tinyproxy -j ACCEPT # tous les autres passent par tinyproxy iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 3128 J'ai juste un problème : il suffit de lancer un navigateur en tant que root pour que les règles iptables soient contournées. J'aimerai savoir comment faire pour que root obéisse aussi aux règles iptables (si c'est possible) Je pensais que « --uid-owner tinyproxy » bloquerait aussi root. (L'uid de tinyproxy est bien différente de 0 ?) Mais « super-utilisateur » n'est pas « super » pour rien ;o) ou s'il est possible d'interdire à root de lancer des programmes bien ciblés, comme les navigateurs par exemple. Comme j'ai mis ce filtre en local, pour mon usage perso, la protection est assez faible, puisque c'est moi qui ait le mot de passe root !! Est-ce qu'il y a une solution ? Il n'y a pas trop de solution au fait que root puisse outrepasser les droits : c'est son rôle. Root peut tout. Si tu peux être root, tu peux aussi modifier les règles iptables directement de toute façon. Si on veut empêcher quelqu'un qui peut être root de faire quelque chose, on ne lui donne pas les droits root, c'est tout. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]