Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Port-Berechtigungen?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Bernie
Gast





BeitragVerfasst am: 23. März 2004 18:32   Titel: Port-Berechtigungen?

Wie kann ich Gruppenrechte auf Ports vergeben?
Beispielsweise:

Gruppe A: kriegt gar keinen Port
Gruppe B: kriegt nur Ports in einem Bereich von bis
Gruppe C: kriegt auch horchende Ports
Gruppe D: unbeschränkt
...

Wie geht das?
Wo kann ich mich informieren? (Buch/URL ...)
 

ratte
Gast





BeitragVerfasst am: 23. März 2004 19:19   Titel: Re: Port-Berechtigungen?

Das geht gar nicht.

ratte
 

Bernie
Gast





BeitragVerfasst am: 23. März 2004 19:32   Titel: Re: Port-Berechtigungen?

Also, wenn Linux keine selektive Portberechtigungen anbietet - ähem, na da bin ich wirklich extrem negativ überrascht - oder einfach nur unwissend, weil es eine andere viel bessere Möglichkeit gibt ... (IP-Filter sind völlig unzureichend)
 

Descartes
Gast





BeitragVerfasst am: 23. März 2004 22:42   Titel: Re: Port-Berechtigungen?

Was schwebt dir denn en detail vor?
Vielleicht drückst du dich nur ungeschickt aus?
Falls du mit Gruppen nicht Usergruppen sondern Rechnergruppen meinst, dann ist iptables, netfilter und co. die Ecke die dich interessiert.
Eventuell suchst du auch die falsche Lösung für das richtige Problem

Was nicht geht, und da hat ratte schon recht, ist dass du für Usergruppen verschiedene Netzwerkberechtigungen verteilst. Also z.B. Gruppe "users" darf die Ports 2000/tcp...4000/tcp lesend verwenden; Gruppe "staff" darf auf den Ports 5000/tcp...6000/tcp Daemons betreiben; etc. Das geht nicht. Eine solche Berechtigung ist mit Linux (andere UNIXe? Solaris? AIX? IRIX? VMS? ...) AFAIK nicht möglich. Ich lasse mich hier aber gerne anhand von konkreten Informationen (Anleitungen, Howtos, Beschreibungen, Artikel, etc.) eines besseren belehren.
 

Bernie
Gast





BeitragVerfasst am: 24. März 2004 10:57   Titel: Re: Port-Berechtigungen?

Descartes schrieb:

> Eventuell suchst du auch die falsche Lösung für das richtige Problem
Das hoffe ich sehr.
Ich möchte ohne großen Aufwand die Netzwerkaktivitäten einiger Anwendungen kontrollieren können und da dachte ich zunächst "Alles ist eine Datei" ... und da ich unsichere Anwendungen immer mit eingeschränkten Userrechten ausführe, lag es nahe nach Möglichkeiten der Netzwerkeinschränkungen für User/Gruppen zu suchen - bisher jedoch ohne wirklichen Erfolg.
Eine andere Möglichkeit wäre ein Application Gateway ... nur habe noch nichts passendes gefunden.

> Was nicht geht, und da hat ratte schon recht, ist dass du für Usergruppen verschiedene
> Netzwerkberechtigungen verteilst. Also z.B. Gruppe "users" darf die Ports 2000/tcp...4000/tcp
> lesend verwenden; Gruppe "staff" darf auf den Ports 5000/tcp...6000/tcp Daemons betreiben;
> etc. Das geht nicht.
Das ist schade, sehr schade, denn IP-Filter sind ja kein wirklicher Schutz für Angriffe von innen,
oder vielleicht doch? Wie kann ich Netzwerkaktivitäten unbekannter Anwendungen effektiv (d. h.
leicht administrierbar!) einschränken?
Die billigsten (pers.) Firewalls unter Winblöd können das ja auch (ZoneAlarm) und ich halte das
für ein sehr sinnvolles Feature...

Irritiert,
Bernd
 

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 24. März 2004 11:32   Titel: Re: Port-Berechtigungen?

Hi,

iptables ist keine Firewall!
iptables ist ein packet-filter.

Der Vergleich zu unter MS-Systemen nutzbaren FWs hingt gewaltig ...

Du kannst es eigentlich nur durch eine "lebendige" Filterung machen - sprich, regelmäßige Überprüfung & Anpassung deselben. Oder Du kaufst eine echte Firewall, bspw. von Checkpoint.

Schreibe Dir also für die Nutzung von iptables ein Skript, welches, basierend auf den ip Adressen der Clientsysteme, die Nutzung von Ports erlaubt - da die iptables Skripte von-oben-nach-unten abgearbeitet werden, sollte natürlich ziemlich am Anfang eine Regel á la: "alles ist verboten" stehen ...
Weitere features kannst Du dann bspw. durch die Verwendung von squid (ggf. inkl. Authentifizierung) und auch unter Nutzung von dansguardian einbinden.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Michael
Gast





BeitragVerfasst am: 24. März 2004 12:13   Titel: Re: Port-Berechtigungen?

code:
man xinetd


Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
Authentifizierung dieser gelingen.

Cheers

Michael
 

Bernie
Gast





BeitragVerfasst am: 24. März 2004 12:37   Titel: Re: Port-Berechtigungen?

Stormbringer schrieb:
> iptables ist keine Firewall!
> iptables ist ein packet-filter.
Das weiß ich, ich suche aber nach einer Möglichkeit, die Ports direkt zu beschränken, da TCP-Pakete (IP1,Port1,Ip2,Port2) IMHO keine UID/GUID-Informationen enthalten (oder?).

> Der Vergleich zu unter MS-Systemen nutzbaren FWs hingt gewaltig ...
Na ja, ich verwende kein Windows mehr, aber ich erinnere mich an ZoneAlarm und das war in der Lage entsprechende Einschränkungen für Applikationen einzurichten.

> Schreibe Dir also für die Nutzung von iptables ein Skript, welches, basierend auf den ip Adressen der Clientsysteme,
Sorry, aber es geht nicht um Clients es geht um User/Gruppen auf einem Rechner.

> Weitere features kannst Du dann bspw. durch die Verwendung von squid
Squid ist doch nur für http (Proxy) oder?

> [...] unter Nutzung von dansguardian einbinden.
da muss ich mal nachschauen ...
 

Bernie
Gast





BeitragVerfasst am: 24. März 2004 12:41   Titel: Re: Port-Berechtigungen?

Michael ließ aufhorchen:

> code:man xinetd
> Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
> Authentifizierung dieser gelingen.

Oh, das scheint es ja zu sein (aber es scheint auch nicht offensichtlich gewesen zu sein).
(Ich dachte das wäre nur ein TCP-Wrapper)

Danke
 

Bernie
Gast





BeitragVerfasst am: 24. März 2004 17:42   Titel: Re: Port-Berechtigungen?

Michael schrieb:

> code:man xinetd
> Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
> Authentifizierung dieser gelingen.

Ähem, also ich finde keine Möglichkeit, nach UID/GID zu filtern oder eine Authentifizierung zu erzwingen, das Feld User gibt nur an in welchem Kontext der Dämon/Server ausgeführt werden soll ...

Kannst Du noch einen klitzekleinen Tipp geben, wie das gehen soll?

Ciao,
Bernd
 

Bernie
Gast





BeitragVerfasst am: 25. März 2004 11:02   Titel: Re: Port-Berechtigungen -> es ist so einfach ...

Im guten alten Heise-Forum gab mir gummy12 am 24. März 2004 um 19:03 Uhr folgenden Hinweis

> man iptables
> owner
> This module attempts to match various characteristics of
> the packet creator, for locally-generated packets. It is
> only valid in the OUTPUT chain, and even this some packets
> (such as ICMP ping responses) may have no owner, and hence
> never match.
>
> --uid-owner userid
> Matches if the packet was created by a process with
> the given effective user id.

info iptables /gid /pid /sid -> das wäre dann auch geklärt

an ratte: es geht ... (noch viel mehr)

jetzt werde ich noch firewall-builder ausprobieren ...

Vielen Dank
(auch an Herve Eychenne

Bernie
 

Michael
Gast





BeitragVerfasst am: 25. März 2004 13:45   Titel: Re: Port-Berechtigungen?

>Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
>Authentifizierung dieser gelingen.

Diese Aussage hatte nichts mit dem xinetd zu tun, der aber filtern kann
(nach IP oder auch für bestimmte Tageszeiten). Um externe Zugriffe auf der
gewünschten Aussage filtern zu können gilt weiterhin obige Aussage.

Cheers

Michael
 

Michael
Gast





BeitragVerfasst am: 25. März 2004 13:47   Titel: Re: Port-Berechtigungen?

Shit, der Satz soll natürlich so lauten:

Um externe Zugriffe auf der von der gewünschten Grundlage
filtern zu können, gilt weiterhin obige Aussage.

Cheers

Michael
 

Bernie
Gast





BeitragVerfasst am: 25. März 2004 15:33   Titel: Re: Port-Berechtigungen?

Hallo Michael,
ich verstehe leider nicht was Du meinst
Ich wollte nur zum Ausdruck bringen, dass es mit iptables möglich ist u. a. nach UID, GID, PID und SID zu filtern, also kann ich meine Gruppen-Port-Beschränkungen realisieren (im Gegensatz zur Auffassung von Ratte).
So weit ich xinetd verstanden habe (also nur oberflächlich), sieht es so aus, dass xinetd nicht das richtige Werkzeug dafür ist.

Grüße,
Bernd
 

Michael
Gast





BeitragVerfasst am: 26. März 2004 13:25   Titel: Re: Port-Berechtigungen?

1. die xinetd-Filter-Funktionalität ohne Kerberos deckt nicht das ab, was Du erreichen willst
2. wird der Zugriff auf den Dienst(Port) erst nach Ticketprüfung erlaubt ist
es doch wieder das richtige
3. die --owner Geschichte für die OUTPUT chain tut es für Dich wohl auch

und schließlich wie schon geschrieben

4. für Filterung extern initiierter Zugriffe brauchst Du eine Authentifizierung,

Fazit: Soweit ich Deine Aufgabenstellung verstanden habe, bist Du mit --owner
ausreichend versorgt.

Cheers

Michael
 

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy