Re: privilège et interface réseau
steve a écrit :
>
> Eric Dupret (eric.dupret@univ-valenciennes.fr) a écrit :
>
>> Comment désactiver de façon ponctuelle l'accès à l'interface réseau
>> pour tous les utilisateurs sauf pour root.
>
> En fouillant sur le net, j'imagine qu'avec le module owner d'iptables
> (ipt_owner) , on doit pouvoir faire ça :
>
> iptables -A OUTPUT -o eth0 -m owner --uid-owner root -j ACCEPT
On peut, mais ça ne suffit pas : la correspondance owner regarde l'UID
effectif du processus ayant émis le paquet, donc les commandes avec suid
root comme ping passent à travers.
Reply to: