Comment bloquer l'acc=C3=A8s a internet d'un chroot (debian jessie amd64) ?
Merci.
Cordialement=2C
Valentin
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/BLU0-SMTP1658A8C2EDF93635C77DCC886910@phx.gbl
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Klaus Becker
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64 ) ?
Merci. Cordialement, Valentin
Salut,
à l'intérieur du chroot "ifdown eth0" ?
Pas sûr, à essayer.
Klaus
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64 ) ?
Merci.
Cordialement,
Valentin
Salut,
à l'intérieur du chroot "ifdown eth0" ?
Pas sûr, à essayer.
Klaus
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/2145208.8joKm2SI7y@1stein
Bonjour, Si on s'arrête là, l'utilisateur peut faire aussi la commande inverse ( ifup eth0) et réactiver le réseau ! le chroot n'a donc qu'un intérêt lim ité. Pour verrouiller et empêcher l'utilisation des commandes d'administration réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers les "capacités" du noyau Linux (man 7 capabilities). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisation des commandes réseaux dans un chroot. à voir Le 9 févr. 2014 19:01, "Klaus Becker" a écrit :
Le dimanche 9 février 2014, 18:48:56 ovd a écrit : > Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ? > > Merci. > Cordialement, > Valentin >
Salut,
à l'intérieur du chroot "ifdown eth0" ?
Pas sûr, à essayer.
Klaus
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
<p dir="ltr">Bonjour,<br> Si on s’arrête là, l'utilisateur peut faire aussi la commande inverse (ifup eth0) et réactiver le réseau ! le chroot n'a donc qu 'un intérêt limité.<br> Pour verrouiller et empêcher l'utilisation des commandes d'admini stration réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers les "capacités" du noyau Linux (man 7 capabilitie s). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisa tion des commandes réseaux dans un chroot. à voir <br> </p> <div class="gmail_quote">Le 9 févr. 2014 19:01, "Klaus Becker" ; <<a href="mailto:"></a>> a écri t :<br type="attribution"><blockquote class="gmail_quote" style="marg in:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Le dimanche 9 février 2014, 18:48:56 ovd a écrit :<br> > Comment bloquer l'accès a internet d'un chroot (debian jessi e amd64) ?<br> ><br> > Merci.<br> > Cordialement,<br> > Valentin<br> ><br> <br> <br> Salut,<br> <br> à l'intérieur du chroot "ifdown eth0" ?<br> <br> Pas sûr, à essayer.<br> <br> Klaus<br> <br> --<br> Lisez la FAQ de la liste avant de poser une question :<br> <a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br> <br> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br> vers <a href="mailto:">debian- </a><br> En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br> Archive: <a href="http://lists.debian.org/" targ et="_blank">http://lists.debian.org/</a><br> <br> </blockquote></div>
--f46d0438904565ed1e04f211726a--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/CAFuS2bZKVZ0QoG+RmJX+vbqqnNCsvzqhE3-CG3-UAJRw4=
Bonjour,
Si on s'arrête là, l'utilisateur peut faire aussi la commande inverse ( ifup
eth0) et réactiver le réseau ! le chroot n'a donc qu'un intérêt lim ité.
Pour verrouiller et empêcher l'utilisation des commandes d'administration
réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers
les "capacités" du noyau Linux (man 7 capabilities). En utilisant les
bonnes options avec la commande setcap (cap_net_admin,
cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisation des
commandes réseaux dans un chroot. à voir
Le 9 févr. 2014 19:01, "Klaus Becker" <colonius@free.fr> a écrit :
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :
> Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
>
> Merci.
> Cordialement,
> Valentin
>
Salut,
à l'intérieur du chroot "ifdown eth0" ?
Pas sûr, à essayer.
Klaus
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/2145208.8joKm2SI7y@1stein
<p dir="ltr">Bonjour,<br>
Si on s’arrête là, l'utilisateur peut faire aussi la commande inverse (ifup eth0) et réactiver le réseau ! le chroot n'a donc qu 'un intérêt limité.<br>
Pour verrouiller et empêcher l'utilisation des commandes d'admini stration réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers les "capacités" du noyau Linux (man 7 capabilitie s). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisa tion des commandes réseaux dans un chroot. à voir <br>
</p>
<div class="gmail_quote">Le 9 févr. 2014 19:01, "Klaus Becker" ; <<a href="mailto:colonius@free.fr">colonius@free.fr</a>> a écri t :<br type="attribution"><blockquote class="gmail_quote" style="marg in:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Le dimanche 9 février 2014, 18:48:56 ovd a écrit :<br>
> Comment bloquer l'accès a internet d'un chroot (debian jessi e amd64) ?<br>
><br>
> Merci.<br>
> Cordialement,<br>
> Valentin<br>
><br>
<br>
<br>
Salut,<br>
<br>
à l'intérieur du chroot "ifdown eth0" ?<br>
<br>
Pas sûr, à essayer.<br>
<br>
Klaus<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian- user-french-REQUEST@lists.debian.org</a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.d ebian.org">listmaster@lists.debian.org</a><br>
Archive: <a href="http://lists.debian.org/2145208.8joKm2SI7y@1stein" targ et="_blank">http://lists.debian.org/2145208.8joKm2SI7y@1stein</a><br>
<br>
</blockquote></div>
--f46d0438904565ed1e04f211726a--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFuS2bZKVZ0QoG+RmJX+vbqqnNCsvzqhE3-CG3-UAJRw4=_XwQ@mail.gmail.com
Bonjour, Si on s'arrête là, l'utilisateur peut faire aussi la commande inverse ( ifup eth0) et réactiver le réseau ! le chroot n'a donc qu'un intérêt lim ité. Pour verrouiller et empêcher l'utilisation des commandes d'administration réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers les "capacités" du noyau Linux (man 7 capabilities). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisation des commandes réseaux dans un chroot. à voir Le 9 févr. 2014 19:01, "Klaus Becker" a écrit :
Le dimanche 9 février 2014, 18:48:56 ovd a écrit : > Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ? > > Merci. > Cordialement, > Valentin >
Salut,
à l'intérieur du chroot "ifdown eth0" ?
Pas sûr, à essayer.
Klaus
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
<p dir="ltr">Bonjour,<br> Si on s’arrête là, l'utilisateur peut faire aussi la commande inverse (ifup eth0) et réactiver le réseau ! le chroot n'a donc qu 'un intérêt limité.<br> Pour verrouiller et empêcher l'utilisation des commandes d'admini stration réseau pour certain utilisateurs, je pense qu'il faudrait se tourner vers les "capacités" du noyau Linux (man 7 capabilitie s). En utilisant les bonnes options avec la commande setcap (cap_net_admin, cap_net_raw,cap_net_admin,...) on peut peu être empêcher l'utilisa tion des commandes réseaux dans un chroot. à voir <br> </p> <div class="gmail_quote">Le 9 févr. 2014 19:01, "Klaus Becker" ; <<a href="mailto:"></a>> a écri t :<br type="attribution"><blockquote class="gmail_quote" style="marg in:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> Le dimanche 9 février 2014, 18:48:56 ovd a écrit :<br> > Comment bloquer l'accès a internet d'un chroot (debian jessi e amd64) ?<br> ><br> > Merci.<br> > Cordialement,<br> > Valentin<br> ><br> <br> <br> Salut,<br> <br> à l'intérieur du chroot "ifdown eth0" ?<br> <br> Pas sûr, à essayer.<br> <br> Klaus<br> <br> --<br> Lisez la FAQ de la liste avant de poser une question :<br> <a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br> <br> Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br> vers <a href="mailto:">debian- </a><br> En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br> Archive: <a href="http://lists.debian.org/" targ et="_blank">http://lists.debian.org/</a><br> <br> </blockquote></div>
--f46d0438904565ed1e04f211726a--
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/CAFuS2bZKVZ0QoG+RmJX+vbqqnNCsvzqhE3-CG3-UAJRw4=
Pascal Hambourg
ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
Ce n'est pas du tout le rôle d'un chroot, qui ne fait que définir une nouvelle racine du système de fichiers. Le réseau n'a rien à voir avec cela. On peut éventuellement lancer le chroot en spécifiant un user/groupe particulier et bloquer avec iptables les paquets émis avec cet UID/GID, mais ça ne marchera pas avec les programmes ayant le bit SUID comme ping.
Je pense que les containers (LXC) ou les cgroups peuvent être plus adaptés à ce genre de chose, mais je n'ai jamais utilisé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/
ovd a écrit :
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
Ce n'est pas du tout le rôle d'un chroot, qui ne fait que définir une
nouvelle racine du système de fichiers. Le réseau n'a rien à voir avec
cela. On peut éventuellement lancer le chroot en spécifiant un
user/groupe particulier et bloquer avec iptables les paquets émis avec
cet UID/GID, mais ça ne marchera pas avec les programmes ayant le bit
SUID comme ping.
Je pense que les containers (LXC) ou les cgroups peuvent être plus
adaptés à ce genre de chose, mais je n'ai jamais utilisé.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/5309E5DC.2080809@plouf.fr.eu.org
Comment bloquer l'accès a internet d'un chroot (debian jessie amd64) ?
Ce n'est pas du tout le rôle d'un chroot, qui ne fait que définir une nouvelle racine du système de fichiers. Le réseau n'a rien à voir avec cela. On peut éventuellement lancer le chroot en spécifiant un user/groupe particulier et bloquer avec iptables les paquets émis avec cet UID/GID, mais ça ne marchera pas avec les programmes ayant le bit SUID comme ping.
Je pense que les containers (LXC) ou les cgroups peuvent être plus adaptés à ce genre de chose, mais je n'ai jamais utilisé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS Archive: http://lists.debian.org/