Como criar um novo usuário com acesso restrito à rede [duplicado]

Navegue suas respostas
2

Eu quero criar um novo usuário (ou grupo), para que qualquer aplicativo em execução com esse usuário não possa se conectar à rede.

@Michael Kjörling Eu segui sua sugestão (com o Ubuntu 12.04 64bit) e obtive algumas informações de erro: 

$ sudo iptables -A OUTPUT -m owner --uid-owner xyz ! -i lo -j REJECT --reject-with network-unreachable
iptables v1.4.12: unknown reject type "network-unreachable"
Try 'iptables -h' or 'iptables --help' for more information.

$ sudo iptables -A OUTPUT -m owner --uid-owner xyz ! -i lo -j REJECT 
iptables v1.4.12: Can't use -i with OUTPUT

Try 'iptables -h' or 'iptables --help' for more information.
$ sudo iptables -A OUTPUT -m owner --uid-owner xyz ! -j REJECT 
iptables v1.4.12: cannot have ! before -j
Try 'iptables -h' or 'iptables --help' for more information.

Finalmente, o seguinte funciona. Mas não tenho certeza se há algo errado. 

$ sudo iptables -A OUTPUT -m owner --uid-owner xyz -j REJECT 
$
    
por Eastsun 10.09.2013 / 14:01

1 resposta

6

Você pode usar a extensão de correspondência do proprietário para iptables (ipt_owner.ko), juntamente com uma exceção para a interface de loopback, para bloquear a comunicação de rede externa para um usuário específico. (Ou, alternativamente, permitir acesso à rede apenas para um conjunto de usuários.)

Por exemplo: 

modprobe ipt_owner
iptables -A OUTPUT -m owner --uid-owner $USERNAME ! -o lo -j REJECT

(Não testado, mas deve passar a mensagem.) Substitua $ USERNAME pelo nome de login do usuário relevante.

Como limitar o acesso à rede por usuário / grupo usando iptables - Partida do proprietário por Nikesh Jauhari fornece alguns antecedentes. Também pode ser usado com grupos, mas não sei como lida com grupos primários e secundários.

    
por 10.09.2013 / 14:09

Tags

Desinstalar o Aptana do Ubuntu Pressione um botão html via script de shell?