Hi Frank, Am Freitag 12 September 2008 schrieb Frank Becker: > Jan Torben Heuer schrieb: > > Hallo, warum ist das Netzwerk (ethX) kein device? Einer seriellen > > Schnittstelle (Modem, ISDN) kann ich Rechte geben, aber ich kann > > nicht einstellen wer eth0 benutzen darf... > > > > Hat das historische Gründe? Hab ich was übersehen? Geht's irgendwie > > anders? > > Meine Glaskugel zeigt mit, dass Du einzelnen Benutzern die Verwendung > des Internets verbieten willst. > > Ich habe das so gelöst, dass ich dem betreffenden Benutzer ein Script > in den Autostart-Ordner gelegt habe. > > #!/bin/sh > sudo /sbin/iptables -A OUTPUT -p tcp --dport 80 -d ! 192.168.1.1 -j \ > REJECT > > > Damit kann der Benutzer nur auf dem Server arbeiten und kommt nicht ins > Internet. In Zusammenhang mit der User-ID-Geschichte von Stefan eine nette Idee. Hast Du auch an findige Benutzer gedacht? Root macht: --------------------------------------------------------------------- shambhala:/home/martin/Zeit/Autostart> whoami root shambhala:/home/martin/Zeit/Autostart> touch kein-internet.desktop shambhala:/home/martin/Zeit/Autostart> ls -l insgesamt 0 -rw-r--r-- 1 root root 0 12. Sep 11:42 kein-internet.desktop shambhala:/home/martin/Zeit/Autostart> --------------------------------------------------------------------- Der Benutzer macht dann entweder: --------------------------------------------------------------------- martin@shambhala:~/Zeit> cd Autostart martin@shambhala:~/Zeit/Autostart> rm kein-internet.desktop rm: reguläre leere Datei (schreibgeschützt) »kein-internet.desktop« entfernen? j martin@shambhala:~/Zeit/Autostart> stat kein-internet.desktop stat: Aufruf von stat für »kein-internet.desktop« nicht möglich: Datei oder Verzeichnis nicht gefunden --------------------------------------------------------------------- Oder: --------------------------------------------------------------------- martin@shambhala:~/Zeit> whoami martin martin@shambhala:~/Zeit> mv Autostart Autostart-ausgeschaltet martin@shambhala:~/Zeit> --------------------------------------------------------------------- Ließe sich natürlich mit chown root:root für Autostart umgehen, dann kann der Benutzer dort jedoch selbst nicht mehr uneingeschränkt was reinlegen oder löschen. Am besten wäre dann vielleicht noch mit chmod o+t zu arbeiten und das Verzeichnis für root und die Gruppe des Benutzers beschreibbar zu machen. Für ext3 gibts natürlich auch noch die für einen Benutzer, der den Befehl nicht kennt, nur schwer zu durchschauende, in jedem Fall jedoch wirksame Variante chattr +i auf die Desktop-Datei. Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.