выполнение iptables без sudo

0

1

всем привет. Ребят возникла необходимость регулярного отрубания доступа к серверу определенным компам по ip, а потом возобновлять этот доступ. Хотел организовать это с помощью iptables. Но команда запрашивает sudo. Какую строчку в sudoers нужно добавить, чтобы не пофачить его. (Пользователь и группа под которым запускается команда называются atmos)

Ссылка

←	Freepbx + Firewall

Свой инсталлятор для дистрибутива Linux

→

%user_group ALL=(ALL) NOPASSWD: ALL

Zhbert ★★★★★
(17.12.19 10:17:43 MSK)

Ссылка

user ALL=(ALL) NOPASSWD: /bin/apt-get, /sbin/reboot

Если только определенные команды нужны.

Zhbert ★★★★★
(17.12.19 10:18:11 MSK)

Ответ на: комментарий от Zhbert 17.12.19 10:18:11 MSK

т.е. в моем случае atmos ALL=(ALL) NOPASSWD: /sbin/iptables ?

а это вообще нормальный вариант или есть более корректный вариант запуска без судо?

full_nub
(17.12.19 10:22:20 MSK) автор топика

port knocking чем не подходит ?

vel ★★★★★
(17.12.19 10:25:12 MSK)

Ответ на: комментарий от full_nub 17.12.19 10:22:20 MSK

Ты хочешь запускать софтину, требующую рута, просто так. Это априори дыра в безопасности.
Но если тебе надо именно это - вариант выше твой.

Zhbert ★★★★★
(17.12.19 10:27:11 MSK)

Ссылка

Ответ на: комментарий от vel 17.12.19 10:25:12 MSK

а это чо за зверь? есть пример? закрыть доступ по ip, открыть доступ по ip

full_nub
(17.12.19 10:31:14 MSK) автор топика

Ответ на: комментарий от full_nub 17.12.19 10:22:20 MSK

Gnome и RedHat настаивают, что единственно верный способ - через polkit. Хотя еще через systemd.

~~boowai~~ ★★★★
(17.12.19 10:33:30 MSK)

Ссылка

Напиши микродемон (скрипт) читающий из пайпа (фифо) и работающий под рутом. Тебе останется только кидать в пайп команды типа: «disable:1.2.3.4» или «enable:1.2.3.4»

futurama ★★★★★
(17.12.19 10:33:34 MSK)
Последнее исправление: futurama 17.12.19 10:33:49 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от full_nub 17.12.19 10:31:14 MSK

Оно для этих целей и создавалось.

погугли про knockd или «man knockd»

Вменяемый клиент есть под андроид и любой *nix.

В putty под оффтопик есть встроенный клиент.

vel ★★★★★
(17.12.19 10:37:28 MSK)

Ссылка

Ответ на: комментарий от full_nub 17.12.19 10:22:20 MSK

Нет нормального, ты можешь прямо конкретные ключи для запускаемого файла прописать в /etc/sudoers:

userA,userB,userC,userZ ALL=(ALL) NOPASSWD: /sbin/iptables -t filter -nvL OUTPUT

Тогда только такая команда и будет запускаться не спрашивая пароля.

anonymous
(17.12.19 10:45:47 MSK)

Ответ на: комментарий от anonymous 17.12.19 10:45:47 MSK

спасибо, в итоге так и сделал

full_nub
(17.12.19 11:32:12 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Freepbx + Firewall

General

Свой инсталлятор для дистрибутива Linux

→

Похожие темы