Benutzern den Netzzugang verbieten

Günni

Günni

Shell-Kommandant
Hi!

Ist es möglich, einzelne Benutzer daran zu hindern, dass sie die Netzwerkleitung benutzen? Ein User soll zum Beispiel den Firefox benutzen können, um sich zwar lokale html-Dateien anzuschauen, aber nicht im internet surfen. Das soll grundsätzlich also anwendungsübergreifend so sein. Geht das? Vielleicht über Schreibrechte auf ein irgendein device oder so?

Mein System ist ein gentoo

Günni
 
Also nur an einer Workstation?
Oder in einem Netzwerk einzelne Computer?
 
Kommt auf die Netzwerkarchitektur an - ggf. reicht es, den jeweiligen user aus der Gruppe 'dialout' zu nehmen.
 
Kommt auf die Netzwerkarchitektur an - ggf. reicht es, den jeweiligen user aus der Gruppe 'dialout' zu nehmen.
Zum Vergrößern anklicken....

Womit du bei einer Router-Architektur natürlich schlechte Karten hast....

Als Würgaround würde mir folgendes einfallen:

-> Du führst beim User-Login ein script aus
-> Dieses script setzt firefox in den offline-Modus (fraglich, ob das über eine FF-Konfigurationsdatei geht)
-> und macht diese Konfigurationsdatei für den user schreibgeschützt

Evtl. funktioniert das ja.
 
Hallo!

Das soll für die Nutzer an einem PC gelten. Meine "normalen" User sind nicht in der Gruppe dialout. Können aber schon das Internet benutzen (bei mir ist dort nur root drin).

Was meinst du mit Netzwerkarchitektur? Der PC geht über einen Router ins Internet.

Kann man eigentlich init anweisen, diverse Prozessids nicht zu vergeben und beim Start einer Anwendung eine dieser pids festlegen? Dann könnte man mit iptables und dateirechten vielleicht was erreichen.

Günni

Edit:
Ich habe mich glaube ich ziemlich schlecht ausgedrückt. Der Hintergrund ist der: ich will an meinen Rechner grundsätzlich verbieten, dass das Internet von einem Benutzer verwendet wird. Ausnahme ist, wenn er das mit einem bestimmten Programm tut. Dazu dachte ich, dass ausgewählte Programme immer mit den Rechten eines "technischen User" gestartet werden. DER soll rausdürfen. Nur halt die echten User nicht. Im Endeffekt, ist das firefox beispiel verkehrt gewesen, weil darüber soll man rausdürfen. Aber wenn der User auf die Idee kommt, sich irgendnen Firlefanz zu installieren, soll diese Anwendung sich nicht rausverbinden können.
Ich glaub jetzt hab ichs komplett rumgedreht, aber so meinte ich es ;)
 
Zuletzt bearbeitet:
Was meinst du mit Netzwerkarchitektur? Der PC geht über einen Router ins Internet.
Zum Vergrößern anklicken....

Genau das meinte ich - und wie supersucker schon schrieb, geht das dann leider nicht so einfach.

*achselzuck*
 
supersucker schrieb:
Womit du bei einer Router-Architektur natürlich schlechte Karten hast....

Als Würgaround würde mir folgendes einfallen:

-> Du führst beim User-Login ein script aus
-> Dieses script setzt firefox in den offline-Modus (fraglich, ob das über eine FF-Konfigurationsdatei geht)
-> und macht diese Konfigurationsdatei für den user schreibgeschützt

Evtl. funktioniert das ja.
Zum Vergrößern anklicken....


das hält mich aber nicht dvon ab, den konqueror oder andere webborwser zu verwenden oder gar andere internetdienste, oder?
 
Wie wärs, wenn man einfach alle Ports außer 80 und zB Samba sperrt?
Mit zB iptables.

Das wird dann auch bei allen Usern außer einem bestimmten als Shellscript gesetzt.
 
Du koenntest ja nur ein paar Ports oeffnen, wie 80,443 zum servern und evtl noch den icq port oder what ever, aber so ist einiger firlefanz schon lahmgelegt.

P.S.:
Hab den obigen Beitrag zu spaet gesehn
 
Zuletzt bearbeitet:
hm.. sim4000, so könnte es funktionieren. :)

ich sperre lokal alle ports und ersetze wie gehabt die entsprechenden binaries durch skripte, in denen die iptables für die anwendung erst modifiziert werden. die skripte dann wegen iptables per suid als root gestartet. meinst du so?
dann müsste ich in dem skript nur noch herausfinden, welcher user das ursprünglich gestartet hat, um die anwendung nicht als root ausführen zu müssen. ich denke das geht nur mit einem weiteren vorangestellten skript.
tricky, aber ich versuchs mal...
 
Nur wenn, musst du alle Ports außer die, die du brauchst dicht machen. Sonst muss man im FF nur n Proxy eintragen, und schon is der Spaß umgangen.
(So machen wir es in der Schule. :D )

//edit
Nein, einfach ein Script das bei Anmeldung prüft, welcher User sich anmeldet, und dann je nach dem die iptables setzt.
ich in dem skript nur noch herausfinden, welcher user das ursprünglich gestartet hat
Zum Vergrößern anklicken....
whoami

Nur iptables kann man nur als root verändern. Sonst wäre das ja witzlos...
 
Zuletzt bearbeitet:
Oder einfach bei Anmeldung ifdown ethx ausführen
 
Oder einfach bei Anmeldung ifdown ethx ausführen
Zum Vergrößern anklicken....

Was dazu führen würde, das sich nicht mal der Admin remote anmelden kann.

das hält mich aber nicht dvon ab, den konqueror oder andere webborwser zu verwenden oder gar andere internetdienste, oder?
Zum Vergrößern anklicken....

Nein, aber im Eröffnungsposting war nur von FF die Rede.
 
nein, nein... sry *g*

ich habe noch was meinem 2. post hinzugefügt, damit es klarer wird
Edit:
Ich habe mich glaube ich ziemlich schlecht ausgedrückt. Der Hintergrund ist der: ich will an meinen Rechner grundsätzlich verbieten, dass das Internet von einem Benutzer verwendet wird. Ausnahme ist, wenn er das mit einem bestimmten Programm tut. Dazu dachte ich, dass ausgewählte Programme immer mit den Rechten eines "technischen User" gestartet werden. DER soll rausdürfen. Nur halt die echten User nicht. Im Endeffekt, ist das firefox beispiel verkehrt gewesen, weil darüber soll man rausdürfen. Aber wenn der User auf die Idee kommt, sich irgendnen Firlefanz zu installieren, soll diese Anwendung sich nicht rausverbinden können.
Ich glaub jetzt hab ichs komplett rumgedreht, aber so meinte ich es
Zum Vergrößern anklicken....

ich versuche grad an der idee von sim4000 weiterzugrübeln, aber ich habe immernoch das problem, dass ich über eine einfache portöffnung keine beschränkung auf user oder vielmehr anwendungen erreiche.
eine beschränkung auf pids gibt es ja in den iptables, nur ist nicht so einfach z.b. einem firefox-prozess (zum richtigen user) seine pid zu entlocken.

dann könnte ich die anwendung nur noch übers skript starten lassen und darin dann anschliessend die ports für den prozess freischalten.
dafür müsste ich mir dann keine gedanken mehr machen, wie ich die user vom traffic aussperre.
 
Anmelden, um zu antworten.

Ähnliche Themen

Server's Power
Server's Power: Download RC8 Hoster: Rapidshare.com Download Base0815 Encode-Tool Hoster: Rapidshare.com Eins vorweg: Das Tool hab ich selbst gecodet und ich hatte...

Mal komplett was neues aufbauen ?
Mal komplett was neues aufbauen ?: Moin. Ich wollte (zum letzten mal) auf meinem (alten) Laptop (Pentium M 1.5GhZ@2GhZ 512MB) ein komplett neues System neben Windows (für Spiele...) aufbauen...

Amarok liest smb/cifs share nicht richtig ein (ID3 tags?)
Amarok liest smb/cifs share nicht richtig ein (ID3 tags?): Hi Leute, Ich hab ein ganz eigenartiges Problem mit meinem frisch aufgesetzten Samba (Debian): Ich kann von meinem Laptop zwar auf alle freigegebenen...

Problem mit Apache2 + MySQL Server
Problem mit Apache2 + MySQL Server: Guten Mittag allen zusammen, ich möchte nun in ein Forum nachfragen bezüglich meines Problemes da ich leider derzeit einen Freund (der mir bisher oft bei...

Benutzer per Skript anlegen
Benutzer per Skript anlegen: Hallo! Ich bin relativ neu in der Linux/UNIX Welt habe aber bereits durch meine Firma einen Auftrag im Linux Redhat Bereich. Ich soll ein Linux Redhat...

Neueste Themen

Zurück
Oben