Пользователь без доступа в интернет

3

1

Моя задача: заблокировать программе в wine доступ в интернет.
Было решено сделать это через iptables для пользователя. Но я столкнулся с проблемами из-за неполных мануалов.
Инструкция
Создаём группу пользователей без интернета: «group_no_inet»

sudo groupadd group_no_inet

Имя пользователя: «user_no_inet»

Опции:

без домашнего каталога
оболочка командной строки bash

sudo useradd user_no_inet -M -g group_no_inet -s /bin/bash

Даём пользователю пароль:

sudo passwd user_no_inet

Блокировка интернета для группы:

sudo iptables -I OUTPUT 1 -m owner --gid-owner group_no_inet -j DROP

Сохранение правила:

iptables-persistent save

Запуск нужной программы (для теста):

sg group_no_inet firefox

Запуск нужной программы через Wine:

sg group_no_inet команда

Конец инструкции

Здесь меня смущает:

Команда

sudo iptables -I OUTPUT 1 -m owner --gid-owner group_no_inet -j DROP

в другом месте видел такую запись:

sudo iptables -A OUTPUT -p all -m owner --uid-owner user_no_inet -j DROP

Что из этого правильно? 2. Команда

sg group_no_inet firefox

Что такое «sg»? Терминал отвечает:

Использование: sg группа [[-c] команда]

Но что это значит? И здесь запуск программы осуществляется от группы, а не от пользователя. Блокировалась через iptables тоже группа, возникает вопрос - а зачем тогда создавать пользователя? Я только вчера начал разбираться с пользователями в линукс. И вообще команда

sg group_no_inet firefox

просит пароль, а я не пойму, что за пароль?

Ссылка

←	Полезные команды на Linux для анализа системы

обход зюперов youtube

→

Команда

sudo iptables -I OUTPUT 1 -m owner --gid-owner group_no_inet -j DROP

в другом месте видел такую запись:

sudo iptables -A OUTPUT -p all -m owner --uid-owner user_no_inet -j DROP

Что из этого правильно?

Как я понимаю обе записи правильны, первая для всех пользователей группы, вторая для конкретного пользователя без учёта группы.

torvn77 ★★★★★
(21.03.21 18:40:00 MSK)

SG(1)                                                                                                                         User Commands                                                                                                                        SG(1)

NAME
       sg - execute command as different group ID

SYNOPSIS
       sg [-] [group [-c ] command]

DESCRIPTION
       The sg command works similar to newgrp but accepts a command. The command will be executed with the /bin/sh shell. With most shells you may run sg from, you need to enclose multi-word commands in quotes. Another difference between newgrp and sg is that some
       shells treat newgrp specially, replacing themselves with a new instance of a shell that newgrp creates. This doesn't happen with sg, so upon exit from a sg command you are returned to your previous group ID.

CONFIGURATION
       The following configuration variables in /etc/login.defs change the behavior of this tool:

       SYSLOG_SG_ENAB (boolean)
           Enable "syslog" logging of sg activity.

FILES
       /etc/passwd
           User account information.

       /etc/shadow
           Secure user account information.

       /etc/group
           Group account information.

       /etc/gshadow
           Secure group account information.

SEE ALSO
       id(1), login(1), newgrp(1), su(1), gpasswd(1), group(5), gshadow(5).

~~colok~~
(21.03.21 19:40:11 MSK)

Ссылка

Рекомендую воспользоваться firejail, чтобы не только доступ в интернет запретить, но и полноценная песочница.

anonymous
(21.03.21 19:42:12 MSK)

Ответ на: комментарий от torvn77 21.03.21 18:40:00 MSK

Спасибо.

Kurum2
(21.03.21 20:17:06 MSK) автор топика

Ссылка

13 мая 2021 г.

Ответ на: комментарий от anonymous 21.03.21 19:42:12 MSK

Чтобы каждый раз как там обнаруживается уязвимость «эскалация привелегий», программа могла не только в интернет выйти, но и от рута поработать.

anonymous
(13.05.21 19:32:05 MSK)

Ссылка

Я бы запускал приложения в отдельном network namespace с единственным интерфейсом lo. :)

~~Oleg_Iu~~ ★
(13.05.21 20:26:43 MSK)

Проще использовать sandbox. firejail --net=none выполняет задачу на ура. За одно можно и в другом ограничить софтину, если хочется (например сделать ей «виртуальный» хомяк без доступа к настоящему).

CrX ★★★
(13.05.21 22:54:57 MSK)