Benutzern den Netzzugang verbieten

Dieses Thema im Forum "Internet, lokale Netzwerke und Wireless Lan" wurde erstellt von Günni, 28.02.2008.

  1. Günni

    Günni Shell-Kommandant

    Dabei seit:
    27.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    Hi!

    Ist es möglich, einzelne Benutzer daran zu hindern, dass sie die Netzwerkleitung benutzen? Ein User soll zum Beispiel den Firefox benutzen können, um sich zwar lokale html-Dateien anzuschauen, aber nicht im internet surfen. Das soll grundsätzlich also anwendungsübergreifend so sein. Geht das? Vielleicht über Schreibrechte auf ein irgendein device oder so?

    Mein System ist ein gentoo

    Günni
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Shorti

    Shorti Routinier

    Dabei seit:
    08.04.2007
    Beiträge:
    271
    Zustimmungen:
    0
    Also nur an einer Workstation?
    Oder in einem Netzwerk einzelne Computer?
     
  4. #3 gropiuskalle, 28.02.2008
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Kommt auf die Netzwerkarchitektur an - ggf. reicht es, den jeweiligen user aus der Gruppe 'dialout' zu nehmen.
     
  5. #4 supersucker, 28.02.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Womit du bei einer Router-Architektur natürlich schlechte Karten hast....

    Als Würgaround würde mir folgendes einfallen:

    -> Du führst beim User-Login ein script aus
    -> Dieses script setzt firefox in den offline-Modus (fraglich, ob das über eine FF-Konfigurationsdatei geht)
    -> und macht diese Konfigurationsdatei für den user schreibgeschützt

    Evtl. funktioniert das ja.
     
  6. #5 Günni, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    Günni

    Günni Shell-Kommandant

    Dabei seit:
    27.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    Hallo!

    Das soll für die Nutzer an einem PC gelten. Meine "normalen" User sind nicht in der Gruppe dialout. Können aber schon das Internet benutzen (bei mir ist dort nur root drin).

    Was meinst du mit Netzwerkarchitektur? Der PC geht über einen Router ins Internet.

    Kann man eigentlich init anweisen, diverse Prozessids nicht zu vergeben und beim Start einer Anwendung eine dieser pids festlegen? Dann könnte man mit iptables und dateirechten vielleicht was erreichen.

    Günni

    Edit:
    Ich habe mich glaube ich ziemlich schlecht ausgedrückt. Der Hintergrund ist der: ich will an meinen Rechner grundsätzlich verbieten, dass das Internet von einem Benutzer verwendet wird. Ausnahme ist, wenn er das mit einem bestimmten Programm tut. Dazu dachte ich, dass ausgewählte Programme immer mit den Rechten eines "technischen User" gestartet werden. DER soll rausdürfen. Nur halt die echten User nicht. Im Endeffekt, ist das firefox beispiel verkehrt gewesen, weil darüber soll man rausdürfen. Aber wenn der User auf die Idee kommt, sich irgendnen Firlefanz zu installieren, soll diese Anwendung sich nicht rausverbinden können.
    Ich glaub jetzt hab ichs komplett rumgedreht, aber so meinte ich es ;)
     
  7. #6 gropiuskalle, 28.02.2008
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Genau das meinte ich - und wie supersucker schon schrieb, geht das dann leider nicht so einfach.

    *achselzuck*
     
  8. #7 tuxlover, 28.02.2008
    tuxlover

    tuxlover Der den Tux knuddelt

    Dabei seit:
    26.10.2005
    Beiträge:
    2.106
    Zustimmungen:
    0
    Ort:
    berlin

    das hält mich aber nicht dvon ab, den konqueror oder andere webborwser zu verwenden oder gar andere internetdienste, oder?
     
  9. #8 sim4000, 28.02.2008
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Wie wärs, wenn man einfach alle Ports außer 80 und zB Samba sperrt?
    Mit zB iptables.

    Das wird dann auch bei allen Usern außer einem bestimmten als Shellscript gesetzt.
     
  10. #9 Shorti, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    Shorti

    Shorti Routinier

    Dabei seit:
    08.04.2007
    Beiträge:
    271
    Zustimmungen:
    0
    Du koenntest ja nur ein paar Ports oeffnen, wie 80,443 zum servern und evtl noch den icq port oder what ever, aber so ist einiger firlefanz schon lahmgelegt.

    P.S.:
    Hab den obigen Beitrag zu spaet gesehn
     
  11. Günni

    Günni Shell-Kommandant

    Dabei seit:
    27.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    hm.. sim4000, so könnte es funktionieren. :)

    ich sperre lokal alle ports und ersetze wie gehabt die entsprechenden binaries durch skripte, in denen die iptables für die anwendung erst modifiziert werden. die skripte dann wegen iptables per suid als root gestartet. meinst du so?
    dann müsste ich in dem skript nur noch herausfinden, welcher user das ursprünglich gestartet hat, um die anwendung nicht als root ausführen zu müssen. ich denke das geht nur mit einem weiteren vorangestellten skript.
    tricky, aber ich versuchs mal...
     
  12. #11 sim4000, 28.02.2008
    Zuletzt bearbeitet: 28.02.2008
    sim4000

    sim4000 Lebende Foren Legende

    Dabei seit:
    12.04.2006
    Beiträge:
    1.933
    Zustimmungen:
    0
    Ort:
    In meinem Zimmer
    Nur wenn, musst du alle Ports außer die, die du brauchst dicht machen. Sonst muss man im FF nur n Proxy eintragen, und schon is der Spaß umgangen.
    (So machen wir es in der Schule. :D )

    //edit
    Nein, einfach ein Script das bei Anmeldung prüft, welcher User sich anmeldet, und dann je nach dem die iptables setzt.
    whoami

    Nur iptables kann man nur als root verändern. Sonst wäre das ja witzlos...
     
  13. #12 hermann4, 28.02.2008
    hermann4

    hermann4 Firmware v.3.1

    Dabei seit:
    29.09.2006
    Beiträge:
    522
    Zustimmungen:
    0
    Ort:
    Hamburg
    Oder einfach bei Anmeldung ifdown ethx ausführen
     
  14. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  15. #13 supersucker, 28.02.2008
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Was dazu führen würde, das sich nicht mal der Admin remote anmelden kann.

    Nein, aber im Eröffnungsposting war nur von FF die Rede.
     
  16. Günni

    Günni Shell-Kommandant

    Dabei seit:
    27.02.2004
    Beiträge:
    73
    Zustimmungen:
    0
    nein, nein... sry *g*

    ich habe noch was meinem 2. post hinzugefügt, damit es klarer wird
    ich versuche grad an der idee von sim4000 weiterzugrübeln, aber ich habe immernoch das problem, dass ich über eine einfache portöffnung keine beschränkung auf user oder vielmehr anwendungen erreiche.
    eine beschränkung auf pids gibt es ja in den iptables, nur ist nicht so einfach z.b. einem firefox-prozess (zum richtigen user) seine pid zu entlocken.

    dann könnte ich die anwendung nur noch übers skript starten lassen und darin dann anschliessend die ports für den prozess freischalten.
    dafür müsste ich mir dann keine gedanken mehr machen, wie ich die user vom traffic aussperre.
     
Thema:

Benutzern den Netzzugang verbieten

Die Seite wird geladen...

Benutzern den Netzzugang verbieten - Ähnliche Themen

  1. Script mit automatischer Benutzernameldung

    Script mit automatischer Benutzernameldung: Hallo, ich habe mehrere Scripte in dennen ich per SSH einige Befehle ausführen lasse auf verschiedenen Rechnern. Nun habe ich das Problem das...
  2. Benutzern Maschinenaccounts zuweisen mit Samba

    Benutzern Maschinenaccounts zuweisen mit Samba: Hallo, es wird ein PDC über Samba realisiert an dem sich die User anmelden und auf Freigaben zurückgreifen können. Nun die eigentliche Frage:...
  3. Verzeichnis mit mehreren Benutzern teilen

    Verzeichnis mit mehreren Benutzern teilen: Hi! Ich suche nach einer einfachen Möglichkeit ein Verzeichnis mit mehreren lokalen Benutzern zu teilen. Hintergrund: Meine Freundin und ich...
  4. Nach Benutzernamen suchen

    Nach Benutzernamen suchen: Hallo, gibt es in der Shell die Möglichkeit auch nach bestimmten Benutzernamen zu suchen? Ich hab da z.B. ein Programm welches ein Menü...
  5. Lange Benutzernamen in Samba

    Lange Benutzernamen in Samba: Hallo zusammen! Habe ein für mich etwas kniffliges Problem, undzwar geht es um unseren Samba Fileserver. Betriebssystem ist AIX 5.3 mit...