iptables --gid-owner mit LDAP Gruppe funktioniert nicht

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

iptables --gid-owner mit LDAP Gruppe funktioniert nicht

Beitrag von joe2017 » 08.08.2018 16:34:06

Hallo zusammen,

ich habe gerade einen --gid-owner Eintrag mit iptables getestet. Aus irgendeinem Grund funktioniert das nicht so wie ich das einstelle.

Ich habe alles geblockt und anschließend folgendes versucht zu öffnen.

Code: Alles auswählen

sudo /sbin/iptables -A OUTPUT -m state --state NEW -m owner --gid-owner (LDAP GID) -p tcp --dport 443 -s (local IP) -j ACCEPT
Leider hat das nicht funktioniert. Ich hab das ganze auch mit der Gruppe 118 (scanner) getestet in welcher mein sudo User steht. Auch das hat nicht funktioniert.

Wenn ich die lokal Gruppe 1000 verwende, in welcher ausschließlich mein sudo User steht, funktioniert die Konfiguration.

Code: Alles auswählen

sudo /sbin/iptables -A OUTPUT -m state --state NEW -m owner --gid-owner 1000 -p tcp --dport 443 -s (local IP) -j ACCEPT
Mach ich hier ein Denkfehler?

Benutzeravatar
ThorstenS
Beiträge: 2875
Registriert: 24.04.2004 15:33:31

Re: iptables --gid-owner mit LDAP Gruppe funktioniert nicht

Beitrag von ThorstenS » 08.08.2018 19:47:04

-A trägt die Regel hinten an, vllt. bringt dich ein -I zum Eintragen vor dem DROP/REJECT dem gewünschten Ziel näher.

iptables -nL OUTPUT zeigt dir die Regeln in der OUTPUT-chain. Wenn eine Regel das Paket wegschmeißt, kann eine spätere Regel es nicht mehr freischalten - der Drops ist da schon gelutscht.

Benutzeravatar
catdog2
Beiträge: 5352
Registriert: 24.06.2006 16:50:03
Lizenz eigener Beiträge: MIT Lizenz

Re: iptables --gid-owner mit LDAP Gruppe funktioniert nicht

Beitrag von catdog2 » 09.08.2018 07:55:20

Leider hat das nicht funktioniert. Ich hab das ganze auch mit der Gruppe 118 (scanner) getestet in welcher mein sudo User steht. Auch das hat nicht funktioniert.
Das owner modul matcht [1] auf die uid/gid des socket file descriptors. Da steht aber immer nur eine gid drin, idr. ist das die der primären Gruppe des users.

[1] https://github.com/torvalds/linux/blob/ ... wner.c#L93

// edit:
-A trägt die Regel hinten an, vllt. bringt dich ein -I zum Eintragen vor dem DROP/REJECT dem gewünschten Ziel näher.
Wenn die chain policy auf DROP steht sollte das schon so passen.
Unix is user-friendly; it's just picky about who its friends are.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: iptables --gid-owner mit LDAP Gruppe funktioniert nicht

Beitrag von joe2017 » 09.08.2018 08:48:05

Das bedeutet ich kann nur die primäre Gruppe hierfür verwenden? Dann kann man eigentlich recht wenig hiermit anfangen. Mit der primären Gruppe (users) hat dies wirklich funktioniert.

Ich hatte folgendes vor. Ich erstelle im LDAP eine Gruppe Bsp. "Web443" und füge hier die User hinzu welchen den Zugriff für den Port 443 erhalten sollen. Jedoch scheint dies nicht wirklich zu funktionieren. Oder gibt es evtl noch ein Trick? Ich möchte nicht --uid-owner verwenden! Bei über 300 User ist das nicht machbar.

Antworten