Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

welche User-Rechte für iptables

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

welche User-Rechte für iptables

Beitrag von BlueTurtle »

Hallo,

ich habe da mal ne Frage:

ich habe auf meinem Router einen User angelegt, der möglichst wenig Rechte bekommen soll.

Aber: er soll das das Recht haben, meine Firewall zu starten (iptables), und den Rechner runter zu fahren (shutdown)

habt Ihr ne Idee? (Gruppe zuordnen, oder die Befehle öffnen?)

BT
towo
Moderator
Moderator
Beiträge: 3726
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo »

Dein Stichwort heisst sudo und die Manpages verraten Dir auch wie's geht.
Signatur nach Diktat spazieren gegangen

Bild
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

hm, sudo ist nicht installiert...

ausserdem: wenn ich meiner Freundin mit sudo komme,... :roll:

hasse keine andere Idee?

BT

ps: ausserdem funzt das so nicht.
ich kann mein Skipt natürlich mit sudo ausführen, aber die Befehle dadrin (iptables) kann er dann doch nicht...
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

BlueTurtle hat geschrieben:hm, sudo ist nicht installiert...

ausserdem: wenn ich meiner Freundin mit sudo komme,... :roll:

hasse keine andere Idee?
1. erstell ein Script und speichere es unter /usr/bin
2. mach ein chown root:users (oder besser ne neue grupper für alle die das script starten dürfen !!!!!)
3. mach einen chmod 4750 /usr/bin/scriptname

jetzt kann deine freundin mit den userechten des besitzers (root) das script starten!


cu
Chris
ewtl solltest du die PATH variable kontrollieren damits dann auch geht.

aber die RECHTE unbedingt ändern auf 4750 sonst kann jeder
das script unter umständen ändern und dann als root was starten!
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

Das klappt so leider nicht...

das problem ist "iptables" - dieses Kommando, das ja im Skript ist, darf der User nicht ausführen...

kann ich zum Beispiel "iptables" und "shutdown" gezielt frei geben?


BT
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

doch sollte schon gehen wenn du das secure bit setzt müsst edas script mit dem besitzer seiner uid starten also root

teste das mal
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

ich habe es getestet.

Code: Alles auswählen

./HomeHackFinal: line 83: iptables: command not found
und das bei jedem "iptables" im Script.

Noch mal zu meiner Idee mir den Befehlen.
Kann ich Befehle für einen bestimmten User frei geben?


BT

ps: mal was ganz anderes: ich habe auf zwei Linux-Rechner von Windows per "putty" zugegriffen.
Seit einem Online-Update funktioniert das nicht mehr.
Ich gebe in putty das Kennwort ein, und dann ist Feierabend - wird nicht akzepziert...
Habe mir jetzt einen anderen ssh-Client installiert, mit dem gehts...
Ist da irgendwas bekannt?
Huflatisch
Hacker
Hacker
Beiträge: 543
Registriert: 5. Apr 2004, 22:40

Beitrag von Huflatisch »

Hey

Stell mal im putty die ssh Auth auf version2. Könnte durch das update erforderlich geworden sein.

By huflatisch
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

Code: Alles auswählen

./HomeHackFinal: line 83: iptables: command not found
ja klar kann er die datei nicht finden!

1. der User dem die datei gehört bekommt eine neue shell
3. die path variable ist noch nicht angepasst (die shell weis nicht WO iptables liegen soll)

Lösung:

such mal wo iptables liegt (ich denke bei /sbin/iptables)

dann änderst du dein script ab!

set IPTABLES = /sbin/iptables

und ersetzt bei deinem Script iptables mit $IPTABLES

und gut is ;-)
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

hier mal ein link zu meiner lösung in sachen rechte für linux

http://www.selflinux.org/selflinux-deve ... eit07.html

und da mal nach
7.2 t-Bit (sticky Bit), SGID, SUID

suchen

;-)
gaw
Hacker
Hacker
Beiträge: 464
Registriert: 28. Sep 2004, 16:33

Beitrag von gaw »

BlueTurtle hat geschrieben:Das klappt so leider nicht...

das problem ist "iptables" - dieses Kommando, das ja im Skript ist, darf der User nicht ausführen...

kann ich zum Beispiel "iptables" und "shutdown" gezielt frei geben?


BT
Die Frage ist eine andere. Sollte iptables für einen User freigegeben werden?

Das ist alles andere als sinnvoll.

Mit freundlichen Grüßen
gaw
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

wenn die Rechte passen und sichergestellt ist das nur das auf der maschine passiert was soll bzw. kann

wieso nicht?

anders ist das bei einem Kunden rechner ;-)

aber das ist nicht das thema dieses Beitrags denk ich mal
jado
Member
Member
Beiträge: 170
Registriert: 4. Mär 2004, 11:00
Wohnort: Hamburg

Beitrag von jado »

Nur so zur Info: das "s"-Bit hat bei Shell-Scripts keine Wirkung!

Also vielleicht "sudo" ins Skript packen....
PEBKAC = Problem Exists Between Keyboard And Chair
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

wenn die Rechte passen und sichergestellt ist das nur das auf der maschine passiert was soll bzw. kann
wieso nicht?
anders ist das bei einem Kunden rechner
aber das ist nicht das thema dieses Beitrags denk ich mal
also, da alles andere nicht fruchtet, frage ich noch mal:

Ist es möglich, spezielle Befehle (iptables und shutdown) so frei zu schalten, dass bestimmte Benutzer des Systems diese ausführen können?
Wenn ja, wie?

BT
chriskc
Newbie
Newbie
Beiträge: 13
Registriert: 9. Apr 2004, 20:23
Wohnort: Regensburg

Beitrag von chriskc »

BlueTurtle hat geschrieben:
Ist es möglich, spezielle Befehle (iptables und shutdown) so frei zu schalten, dass bestimmte Benutzer des Systems diese ausführen können?
Wenn ja, wie?

BT
http://www.selflinux.org/selflinux-deve ... eit07.html

steht aber schon oben ;-)
Huflatisch
Hacker
Hacker
Beiträge: 543
Registriert: 5. Apr 2004, 22:40

Beitrag von Huflatisch »

Hey

kurz gesagt mit

chmod 4755 /usr/sbin/iptables (als root)

schaltest du die Benutzung für alle user frei

By Huflatisch
Benutzeravatar
BlueTurtle
Member
Member
Beiträge: 157
Registriert: 13. Mär 2004, 17:22

Beitrag von BlueTurtle »

Jau, danke!

habs endlich geschnallt, dank dem Link von chriskc weiss ich sogar, was ich mache... :D

BT
Antworten