iptables Konfigurationsberechtigung für Benutzer

Dieses Thema im Forum "Firewalls" wurde erstellt von Fallout, 02.03.2007.

  1. #1 Fallout, 02.03.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Hallo,

    ich habe hier mal eine kleine Frage:
    Ich möchte einem bestimmten Benutzer unter OpenSuSE 10.2 die Berechtigung geben, die filter- und ggf. auch andere (wie z. B. die nat-) Tabelle via iptables lesen oder ggf. auch bearbeiten zu dürfen.

    tester@linux:~> /usr/sbin/iptables -vnL
    iptables v1.3.1: can't initialize iptables table `filter': Permission denied (you must be root)
    Perhaps iptables or your kernel needs to be upgraded.

    Gibt es eine Möglichkeit, die Berechtigung dafür auch anderen Benutzern zu geben?

    (Bitte keine Hinweise auf Sicherheitsrisiken und Missbrauchsnebenwirkungen. Ich bin weder Arzt noch Apotheker und weiß was ich nicht kann :brav: )

    Gruß Danny
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. sct

    sct Jungspund

    Dabei seit:
    01.03.2007
    Beiträge:
    11
    Zustimmungen:
    0
    Code:
    $ /sbin/iptables -L
    iptables v1.2.08: can't initialize iptables table `filter': Permission
    denied (you must be root)
    Perhaps iptables or your kernel needs to be upgraded.
    
    Code:
    $ [B]sudo[/B] iptables -L
    Chain INPUT (policy ACCEPT)
    target     prot opt source               destination
    
    Chain FORWARD (policy ACCEPT)
    target     prot opt source               destination
    
    Chain OUTPUT (policy ACCEPT)
    target     prot opt source               destination
    
    
     
  4. #3 Fallout, 02.03.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Danke, aber ich suche eine direkte skriptverträglichere Lösung.

    Ich hatte mir das so vorgestellt, daß die Tabellen in separaten Dateien abgelegt sind, und der Zugriff auf Dateisystemebene behandelt wird. Aber ich habe noch nichts entsprechendes gefunden, um dort weiterzukommen.
     
  5. #4 SkydiverBS, 02.03.2007
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    sudo ist eine scriptvertraegliche Loesung. Wenn das dir nicht weiterhilft muesstest du mal schildern was du genau vor hast.

    Meinst du damit z.B. die filter- oder nat-Tabelle von iptables? Die sind soweit ich weiss nicht im Dateisystem zu finden. Der einzige Weg ist ueber das iptables-Programm.

    Gruss,
    Philip
     
  6. #5 Fallout, 02.03.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Deswegen schrieb ich ja auch, daß ich etwas direktes und skriptvertrgälicheres suche :oldman :D
    Wie gesagt - ich suchte ursprünglich eine Möglichkeit, dem Benutzer ohne "Umwege" die Berechtigung für iptables und dessen Tabellenabschnitte zu geben. Aber scheinbar habe ich da die falschen Vorstellungen :think:

    Trotzdem Danke
     
  7. #6 SkydiverBS, 02.03.2007
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    Ok jetzt verstehe ich es auch :D ! Du willst einem Benutzer Zugriff auf bestimmte Funktionalitaet (z.B. iptables) geben, die eigentlich root vorbehalten ist ohne dabei Programme wie sudo zu verwenden.

    Was du brauchst ist eine Art von Access Control List die eine feinere Einstellung der Rechte ermoeglicht als das standardmaessig in UNIX enthaltene Rechtesystem. Fuer Linux gibt es da z.B. RSBAC. Ich habe es selbst noch nicht benutzt aber ich denke das du damit dein Vorhaben realisieren koenntest.

    Hoffe das hilft weiter!

    Gruss,
    Philip
     
  8. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    IPTabeles ist doch sozusagen ein Kernel-Zustand. Der läßt sich zwar auf Dateiebene abbilden, aber um den tatsächlichen Filter zur Laufzeit zu ändern, muß man dem Kernel einen Befehl geben. Das darf nur root.

    Ich würde ein Shellscript schreiben, das iptables mit den zu erlaubenden Parametern ausführt und in /etc/sudoers dieses Script für den Menschen eintragen, der das dürfen soll. Dabei kann man auch festlegen, daß dieser Mensch dafür kein Paßwort braucht.

    Wäre das ein Weg?
     
  9. #8 Fallout, 02.03.2007
    Fallout

    Fallout Doppel-As

    Dabei seit:
    02.03.2007
    Beiträge:
    120
    Zustimmungen:
    0
    Hm, ok - die Erklärung klingt recht plausibel. Ich hatte mich halt durch die Meldung can't initialize iptables table `filter': Permission
    denied (you must be root)
    auf die Idee bringen lassen, daß sich dies auf die Benutzerverwaltung des Dateisystems bezieht.

    Joah, ich hab's jetzt doch auch über den sudoers-Umweg gemacht, und dem Benutzer einen Paßwortfreien Zugriff auf iptables gegeben. Aber die Idee mit dem Shellscript für eine vordefinierte/eingeschränkte iptables-Nutzung ist auch nicht schlecht. Der Gute soll ja nicht gleich das große Scheunentor öffnen können :D

    Danke für die Tipps

    Gruß Danny
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. #9 SkydiverBS, 02.03.2007
    SkydiverBS

    SkydiverBS Tripel-As

    Dabei seit:
    15.01.2005
    Beiträge:
    207
    Zustimmungen:
    0
    Ort:
    Freising
    Stimmt. Außer man gibt einem anderen Benutzer das Recht auf eine spezielle Funktion (Linux capability) des Kernels zuzugreifen, die normalerweiße nur von root genutzt werden kann. Siehe Abschnitt zu Linux Capabilities im RSBAC Handbook:
    Eine Liste der Linux capabilities findet man in der Header-Datei /usr/include/linux/capability.h. Z.B. die für die Netzwerk-Administration zuständige capability:
    Code:
    /* Allow interface configuration */
    /* Allow administration of IP firewall, masquerading and accounting */
    /* Allow setting debug option on sockets */
    /* Allow modification of routing tables */
    /* Allow setting arbitrary process / process group ownership on
       sockets */
    /* Allow binding to any address for transparent proxying */
    /* Allow setting TOS (type of service) */
    /* Allow setting promiscuous mode */
    /* Allow clearing driver statistics */
    /* Allow multicasting */
    /* Allow read/write of device-specific registers */
    /* Allow activation of ATM control sockets */
    
    #define CAP_NET_ADMIN        12
    
    Allerdings erfordert die Konfiguration von capabilities mittels RSBAC sicherlich etwas Einarbeitung. Somit ist die sudo-Methode und die Lösung von Jabo schneller und einfacher zu realisieren.

    Gruß,
    Philip
     
  12. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Interessanter Link übrigens, danke. Hatte ich noch nicht gelesen!
     
Thema:

iptables Konfigurationsberechtigung für Benutzer

Die Seite wird geladen...

iptables Konfigurationsberechtigung für Benutzer - Ähnliche Themen

  1. iptables und whitelist

    iptables und whitelist: Moin zusammen, Nach einer Ewigkeit melde ich mich mal hier zurück. Ich hab da so ein kleines Problemchen. Ich mach z.Zt. eine Umschulung zum...
  2. iptables blocke nur von bestimmter ip

    iptables blocke nur von bestimmter ip: Hallo, ich habe ein kleines Heimnetzwerk mit einem Router unter openWRT. Dort kann ich mittels iptables -I OUTPUT -p udp --dport 53 -m...
  3. Opensuse iptables (yast FW) + MiniUPnPd

    Opensuse iptables (yast FW) + MiniUPnPd: Hallo zusammen, ich habe ja meine OpenSuse Box momentan als Gateway eingerichtet und der Router dient nur als Access Point für alle Geräte...
  4. IPtables

    IPtables: Hallo Leute, bin zurzeit dabei, einen Proxy aufzusetzen, der die IP meines Webservers vetuschen soll. Es läuft eig. schon alles super, nur eine...
  5. iptables synproxy

    iptables synproxy: Hallo liebe Gemeinde, Bin für jede Hilfe dankbar! Lg, Nicki