[HS] : Comment bloquer l'acc

3 réponses
Avatar
ovd
Comment bloquer l'acc=C3=A8s a internet d'un chroot (debian jessie amd64) ?

Merci.
Cordialement=2C
Valentin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP1658A8C2EDF93635C77DCC886910@phx.gbl

3 réponses

Avatar
Klaus Becker
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64 ) ?

Merci.
Cordialement,
Valentin





Salut,

à l'intérieur du chroot "ifdown eth0" ?

Pas sûr, à essayer.

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Belaïd
--f46d0438904565ed1e04f211726a
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,
Si on s'arrête là, l'utilisateur peut faire aussi la commande inverse ( ifup
eth0) et réactiver le réseau ! le chroot n'a donc qu'un intérêt lim ité.
Pour verrouiller et empêcher l'utilisation des commandes d'administration
réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers
les "capacités" du noyau Linux (man 7 capabilities). En utilisant les
bonnes options avec la commande setcap (cap_net_admin,
cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisation des
commandes réseaux dans un chroot. à voir
Le 9 févr. 2014 19:01, "Klaus Becker" a écrit :

Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
> Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
>
> Merci.
> Cordialement,
> Valentin
>


Salut,

à l'intérieur du chroot "ifdown eth0" ?

Pas sûr, à essayer.

Klaus

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/





--f46d0438904565ed1e04f211726a
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

<p dir="ltr">Bonjour,<br>
Si on s&rsquo;arrête là, l&#39;utilisateur peut faire aussi la commande inverse (ifup eth0) et réactiver le réseau ! le chroot n&#39;a donc qu &#39;un intérêt limité.<br>
Pour verrouiller et empêcher l&#39;utilisation des commandes d&#39;admini stration réseau pour certain utilisateurs, je pense qu&#39;il faudrait se tourner vers les &quot;capacités&quot; du noyau Linux (man 7 capabilitie s). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l&#39;utilisa tion des commandes réseaux dans un chroot. à voir <br>
</p>
<div class="gmail_quote">Le 9 févr. 2014 19:01, &quot;Klaus Becker&quot ; &lt;<a href="mailto:"></a>&gt; a écri t :<br type="attribution"><blockquote class="gmail_quote" style="marg in:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :<br>
&gt; Comment bloquer l&#39;accès a internet d&#39;un chroot (debian jessi e amd64) ?<br>
&gt;<br>
&gt; Merci.<br>
&gt; Cordialement,<br>
&gt; Valentin<br>
&gt;<br>
<br>
<br>
Salut,<br>
<br>
à l&#39;intérieur du chroot &quot;ifdown eth0&quot; ?<br>
<br>
Pas sûr, à essayer.<br>
<br>
Klaus<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
Archive: <a href="http://lists.debian.org/" targ et="_blank">http://lists.debian.org/</a><br>
<br>
</blockquote></div>

--f46d0438904565ed1e04f211726a--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/CAFuS2bZKVZ0QoG+RmJX+vbqqnNCsvzqhE3-CG3-UAJRw4=
Avatar
Pascal Hambourg
ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?



Ce n'est pas du tout le rôle d'un chroot, qui ne fait que définir une
nouvelle racine du système de fichiers. Le réseau n'a rien à voir avec
cela. On peut éventuellement lancer le chroot en spécifiant un
user/groupe particulier et bloquer avec iptables les paquets émis avec
cet UID/GID, mais ça ne marchera pas avec les programmes ayant le bit
SUID comme ping.

Je pense que les containers (LXC) ou les cgroups peuvent être plus
adaptés à ce genre de chose, mais je n'ai jamais utilisé.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/