[gelöst] Debian WLAN Konfiguration für Benutzer sperren

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[gelöst] Debian WLAN Konfiguration für Benutzer sperren

Beitrag von joe2017 » 21.04.2021 20:19:25

Hallo zusammen,

Kann man unter debian (gnome) die Konfiguration bzw. das beitreten in ein weiteres WLAN Netzwerk für Benutzer sperren?

Ich möchte einem WLAN beitreten und verhindern, dass ein normaler Benutzer einem anderen WLAN beitritt.

Ist das irgendwie möglich?
Zuletzt geändert von joe2017 am 10.05.2021 10:23:29, insgesamt 1-mal geändert.

Benutzeravatar
smutbert
Moderator
Beiträge: 8315
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von smutbert » 22.04.2021 00:21:43

Du könntest den network-manager deinstallieren oder deaktivieren und das Netzwerk mittels systemd-networkd oder »/etc/network/interfaces« (Debianifupdown) konfigurieren.

Möglicherweise gibt es auch Möglichkeiten beim network-manager zu verhindern, dass Benutzer etwas an der Netzwerkkonfiguration ändern können, aber ich glaube das würde eine eher unübersichtliche Lösung, weil der network-manager ja genau dafür gemacht ist, dass man (Benutzer) die Netzwerkverbindungen flexibel ändern können.

DeletedUserReAsG

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von DeletedUserReAsG » 22.04.2021 06:52:14

Ich würde schauen, welchen Mechanismus der Networkmanager nutzt, um dem User die zur Manipulation des Interfaces und der Netzwerkkonfiguration notwendigen Rechte einzuräumen, und ihm die dort entziehen. Mit einiger Wahrscheinlichkeit wird es über polkit geregelt.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von mat6937 » 22.04.2021 11:48:00

joe2017 hat geschrieben: ↑ zum Beitrag ↑
21.04.2021 20:19:25
... verhindern, dass ein normaler Benutzer einem anderen WLAN beitritt.
Ist dieser normale Benutzer, Mitglied in der Gruppe netdev? Wenn ja, dann teste mal nachdem Du diesem normalen Benutzer, die Mitgliedschaft in der Gruppe netdev entzogen hast.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von joe2017 » 22.04.2021 11:58:11

Leider ist mein Benutzer nicht in dieser Gruppe. Ich habe einen neuen Benutzer Bsp. Testuser mit der Gruppe Testuser angelegt.

mat6937
Beiträge: 2925
Registriert: 09.12.2014 10:44:00

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von mat6937 » 22.04.2021 12:08:01

joe2017 hat geschrieben: ↑ zum Beitrag ↑
22.04.2021 11:58:11
Leider ist mein Benutzer nicht in dieser Gruppe.
OK. Evtl. ist dann die Mitgliedschaft in einer anderen Gruppe relevant. Wie ist die Ausgabe von:

Code: Alles auswählen

id
wpa_cli scan
, wenn Du als dieser Benutzer angemeldet bist? Wie ist die Ausgabe von:

Code: Alles auswählen

ls -la /var/run/wpa_supplicant
, wenn eine WLAN-Verbindung hergestellt ist?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von joe2017 » 22.04.2021 12:24:11

Da muss ich mir jetzt erst mal wieder ein Device mit WLAN besorgen.
Mein Test Device ging gestern raus. Ich werde die kommenden Tage mal prüfen was hier zurückgegeben wird.

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von JTH » 22.04.2021 13:36:48

Wie niemand schreibt, ist beim Network-Manager – den du unter Gnome normalerweise verwendest – PolicyKit für die Berechtigungen zuständig.

Standardmäßig darf jeder Benutzer eigene Verbindungen anlegen und Mitglieder der Gruppen netdev und sudo dürfen systemweite Verbindungen bearbeiten (siehe org.freedesktop.NetworkManager.settings.modify.own in /usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy und /var/lib/polkit-1/localauthority/10-vendor.d/org.freedesktop.NetworkManager.pkla).

Der Network-Manager hat einige Aktionen, die man erlauben oder verbieten kann:

Code: Alles auswählen

~$ grep id= /usr/share/polkit-1/actions/org.freedesktop.NetworkManager.policy
  <action id="org.freedesktop.NetworkManager.enable-disable-network">
  <action id="org.freedesktop.NetworkManager.reload">
  <action id="org.freedesktop.NetworkManager.sleep-wake">
  <action id="org.freedesktop.NetworkManager.enable-disable-wifi">
  <action id="org.freedesktop.NetworkManager.enable-disable-wwan">
  <action id="org.freedesktop.NetworkManager.enable-disable-wimax">
  <action id="org.freedesktop.NetworkManager.network-control">
  <action id="org.freedesktop.NetworkManager.wifi.scan">
  <action id="org.freedesktop.NetworkManager.wifi.share.protected">
  <action id="org.freedesktop.NetworkManager.wifi.share.open">
  <action id="org.freedesktop.NetworkManager.settings.modify.own">
  <action id="org.freedesktop.NetworkManager.settings.modify.system">
  <action id="org.freedesktop.NetworkManager.settings.modify.hostname">
  <action id="org.freedesktop.NetworkManager.settings.modify.global-dns">
  <action id="org.freedesktop.NetworkManager.checkpoint-rollback">
  <action id="org.freedesktop.NetworkManager.enable-disable-statistics">
  <action id="org.freedesktop.NetworkManager.enable-disable-connectivity-check">

Ich denke, ein Verbieten der settings-Aktionen wäre das was du suchst:

Code: Alles auswählen

~$ cat /etc/polkit-1/localauthority/50-local.d/no-network-settings-for-joe2017.pkla
[No network settings for user joe2017]
Identity=unix-user:joe2017
Action=org.freedesktop.NetworkManager.settings.*
ResultAny=no
Das bezieht sich aber auch auf Kabelverbindungen. Ob da noch eine der anderen Aktionen dazu muss – oder sogar ein rigoroses

Code: Alles auswählen

Action=org.freedesktop.NetworkManager.*
sinnvoll ist – müsstest du ausprobieren.

Um dir nachträgliche Administration zu erleichern, ginge auch ein

Code: Alles auswählen

ResultAny=admin_auth
Siehe man pklocalauthority und oben erwähnte Dateien.
Manchmal bekannt als Just (another) Terminal Hacker.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von joe2017 » 10.05.2021 09:58:01

Hi JTH,

prinzipiell hat sich dein Vorschlag Sinnvoll angehört. Jedoch funktioniert das irgendwie nicht.
Die angelegte /etc/polkit-1/localauthority/50-local.d/test.pkla bewirkt irgendwie gar nichts. Ich habe testhalber auch mal nur folgende Einstellung eingetragen
org.freedesktop.NetworkManager.enable-disable-wifi

Kann man irgendwie testen ob die pkla Datei verwendet wird?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von joe2017 » 10.05.2021 10:23:12

Ich habe jetzt die Syntx richtig eingetragen und jetzt funktioniert es.
Anbei meine Config:

Code: Alles auswählen

[my configuration]
Identity=unix-user:Guest
Action=org.freedesktop.NetworkManager.*
ResultAny=no
ResultInactive=no
ResultActive=auth_admin
Danke nochmal für den Tipp!

JTH
Moderator
Beiträge: 3014
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: Debian WLAN Konfiguration für Benutzer sperren

Beitrag von JTH » 10.05.2021 12:14:29

joe2017 hat geschrieben: ↑ zum Beitrag ↑
10.05.2021 10:23:12

Code: Alles auswählen

ResultAny=no
ResultInactive=no
ResultActive=auth_admin
Ah ja, ich bin mir jedes Mal nicht sicher, ob alle Result* notwendig sind oder ResultAny im Einzelfall reicht :? Und die manpage finde ich dazu nicht eindeutig.
Manchmal bekannt als Just (another) Terminal Hacker.

Antworten