[HS] : Comment bloquer l'acc

Le
ovd
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?

Merci.
Cordialement,
Valentin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP1658A8C2EDF93635C77DCC886910@phx.gbl
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Klaus Becker
Le #25981682
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64 ) ?

Merci.
Cordialement,
Valentin





Salut,

à l'intérieur du chroot "ifdown eth0" ?

Pas sûr, à essayer.

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd
Le #25984612
--f46d0438904565ed1e04f211726a
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
Si on s'arrête là, l'utilisateur peut faire aussi la commande inverse ( ifup
eth0) et réactiver le réseau ! le chroot n'a donc qu'un intérêt lim ité.
Pour verrouiller et empêcher l'utilisation des commandes d'administration
réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers
les "capacités" du noyau Linux (man 7 capabilities). En utilisant les
bonnes options avec la commande setcap (cap_net_admin,
cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisation des
commandes réseaux dans un chroot. à voir
Le 9 févr. 2014 19:01, "Klaus Becker"
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
> Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
>
> Merci.
> Cordialement,
> Valentin
>


Salut,

à l'intérieur du chroot "ifdown eth0" ?

Pas sûr, à essayer.

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--f46d0438904565ed1e04f211726a
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">Bonjour,<br>
Si on s&rsquo;arrête là, l&#39;utilisateur peut faire aussi la commande inverse (ifup eth0) et réactiver le réseau ! le chroot n&#39;a donc qu &#39;un intérêt limité.<br>
Pour verrouiller et empêcher l&#39;utilisation des commandes d&#39;admini stration réseau pour certain utilisateurs, je pense qu&#39;il faudrait se tourner vers les &quot;capacités&quot; du noyau Linux (man 7 capabilitie s). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l&#39;utilisa tion des commandes réseaux dans un chroot. à voir <br>
</p>
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :<br>
&gt; Comment bloquer l&#39;accès a internet d&#39;un chroot (debian jessi e amd64) ?<br>
&gt;<br>
&gt; Merci.<br>
&gt; Cordialement,<br>
&gt; Valentin<br>
&gt;<br>
<br>
<br>
Salut,<br>
<br>
à l&#39;intérieur du chroot &quot;ifdown eth0&quot; ?<br>
<br>
Pas sûr, à essayer.<br>
<br>
Klaus<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--f46d0438904565ed1e04f211726a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bZKVZ0QoG+RmJX+vbqqnNCsvzqhE3-CG3-UAJRw4=
Pascal Hambourg
Le #26002752
ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?



Ce n'est pas du tout le rôle d'un chroot, qui ne fait que définir une
nouvelle racine du système de fichiers. Le réseau n'a rien à voir avec
cela. On peut éventuellement lancer le chroot en spécifiant un
user/groupe particulier et bloquer avec iptables les paquets émis avec
cet UID/GID, mais ça ne marchera pas avec les programmes ayant le bit
SUID comme ping.

Je pense que les containers (LXC) ou les cgroups peuvent être plus
adaptés à ce genre de chose, mais je n'ai jamais utilisé.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme