Wyłącz dostęp roota do iptables. Możliwe jest wyłączenie użytkownika root
0
Możliwe jest wyłączenie użytkownika root, aby zmienić iptablesreguły lub cokolwiek zrobić z iptables, co pozwala zmienić reguły dla innego użytkownika?
Zakładając, że możesz, to rootbędziesz w stanie przywrócić ten przywilej, chyba że ty też go zablokujesz, ale root nadal będzie mógł się odblokować ... Jaki jest początkowy problem?
ksenoid
Tak, masz rację, xenoid, nie myślałem o tym, dziękuję za twoją myśl! Byłoby lepiej dla bezpiecznego wykorzystania systemu operacyjnego używać unikalnego hasła do zmiany reguł iptables. Przepraszam za mój angielski.
Dima,
Podobnie jak @dirkt, myślę, że jest to problem XY, innymi słowy, uważasz, że rozwiązaniem jakiegoś nieznanego nam problemu jest zapobieganie zmianie katalogu głównego przez iptables. Ale powinieneś podać ten problem (w innym pytaniu), abyśmy mogli zaproponować rozwiązania bardziej zgodne z użytkowaniem Uniksa / Linuksa.
ksenoid
Odpowiedzi:
1
1) Użytkownik root zawsze będzie mógł zmienić iptables. Nie możesz tego wyłączyć.
2) iptablesreguły dotyczą całego systemu, a nie „na użytkownika”. Zatem root nie zmienia „reguł iptables dla innego użytkownika”.
3) Możesz nadać innemu użytkownikowi prawa root dla określonych programów, np sudo. Za pomocą . Tak więc konkretny użytkownik będzie mógł zadzwonić, iptablesaby zmienić ustawienie systemowe (i oczywiście root nadal będzie mógł to zrobić). Jeśli tego chcesz.
4) To podejrzanie brzmi jak problem XY . Zmodyfikuj pytanie i opisz, co chcesz osiągnąć, i dlaczego uważasz, że musisz być w stanie uniemożliwić rootowanie, aby zadzwonić iptables. Jestem pewien, że Twój prawdziwy problem można rozwiązać w sposób zgodny z Linuksem, przy użyciu odpowiedniego zarządzania kontami użytkowników i grup.
rootbędziesz w stanie przywrócić ten przywilej, chyba że ty też go zablokujesz, ale root nadal będzie mógł się odblokować ... Jaki jest początkowy problem?Odpowiedzi:
1) Użytkownik root zawsze będzie mógł zmienić
iptables. Nie możesz tego wyłączyć.2)
iptablesreguły dotyczą całego systemu, a nie „na użytkownika”. Zatem root nie zmienia „reguł iptables dla innego użytkownika”.3) Możesz nadać innemu użytkownikowi prawa root dla określonych programów, np
sudo. Za pomocą . Tak więc konkretny użytkownik będzie mógł zadzwonić,iptablesaby zmienić ustawienie systemowe (i oczywiście root nadal będzie mógł to zrobić). Jeśli tego chcesz.4) To podejrzanie brzmi jak problem XY . Zmodyfikuj pytanie i opisz, co chcesz osiągnąć, i dlaczego uważasz, że musisz być w stanie uniemożliwić rootowanie, aby zadzwonić
iptables. Jestem pewien, że Twój prawdziwy problem można rozwiązać w sposób zgodny z Linuksem, przy użyciu odpowiedniego zarządzania kontami użytkowników i grup.źródło