Re: iptables : interdire certaines choses à root...possible ????
Mardi 15 août 2006, 18:22:19 CEST, Jean Baptiste BALLEYGUIER a écrit :
>
> Bonjour,
'soir,
> je viens de configurer dansguardian/tinyproxy avec des règles de
> redirection iptables, à partir de tutos que j'ai trouvé là :
>
> http://lists.debian.org/debian-user-french/2006/04/msg01654.html
>
> les règles iptables :
>
> http://lists.debian.org/debian-user-french/2006/04/msg01662.html
>
> (j'ai mis le port 3128, et un user tinyproxy)
Donc, tu as :
# seul tinyproxy est autorisé à passer directement
iptables -t nat -A OUTPUT -p tcp --dport www \
-m owner --uid-owner tinyproxy -j ACCEPT
# tous les autres passent par tinyproxy
iptables -t nat -A OUTPUT -p tcp --dport www -j REDIRECT --to-port 3128
> J'ai juste un problème : il suffit de lancer un navigateur en tant que
> root pour que les règles iptables soient contournées. J'aimerai savoir
> comment faire pour que root obéisse aussi aux règles iptables (si c'est
> possible)
Je pensais que « --uid-owner tinyproxy » bloquerait aussi root.
(L'uid de tinyproxy est bien différente de 0 ?)
Mais « super-utilisateur » n'est pas « super » pour rien ;o)
> ou s'il est possible d'interdire à root de lancer des
> programmes bien ciblés, comme les navigateurs par exemple. Comme j'ai
> mis ce filtre en local, pour mon usage perso, la protection est assez
> faible, puisque c'est moi qui ait le mot de passe root !!
>
> Est-ce qu'il y a une solution ?
Il n'y a pas trop de solution au fait que root puisse outrepasser les
droits : c'est son rôle. Root peut tout.
Si tu peux être root, tu peux aussi modifier les règles iptables
directement de toute façon.
Si on veut empêcher quelqu'un qui peut être root de faire quelque chose,
on ne lui donne pas les droits root, c'est tout.
--
Sylvain Sauvage
Reply to: