Re: remote x nur für bestimmte benutze
Thorsten Strusch <debian@nc-ag.de> writes:
> Peter Blancke wrote:
> > Dazu koennten die Ports fuer das X11-Forwarding mittels
> > Firewall-Regeln gesperrt werden. Diese befinden sich ab 6000
> > aufwaerts, abhaengig von dem Eintrag "X11DisplayOffset" in der Datei
> > /etc/ssh/sshd_config. Diese Variable steht oftmals auf 10 und meint
> > damit Ports ab 6010 aufwaerts.
> > Schwierig wird das, wenn die Absender-IP, von der aus sich die
> > Anwender in das System einwaehlen, nicht statisch sind. In diesem
> > Falle muesste eine Routine erkennen, welcher User sich eingewaehlt
> > hat, um die Firewall-Regeln entsprechend dynamisch anzupassen.
> > Hierzu habe ich allerdings augenblicklich keinen konkreten Tipp, wie
> > man das realisieren koennte.
>
> Aus man iptables:
> --uid-owner userid
> Matches if the packet was created by a process with
> the given effective user id.
>
> --gid-owner groupid
> Matches if the packet was created by a process with
> the given effective group id.
>
> Ich denke über diese selten genutzte iptables-Option kann man
> sehr gut eingrenzen welche(r) Gruppe/User einen gewissen Service
> benutzen dürfen.
Korrigiert mich, wenn ich falsch liege, aber der Erzeuger der Pakete
ist doch der sshd und der läuft immer nur unter einer ID, häufig
root. Hier die Ausgabe eines 'netstat -te' nach einem 'ssh localhost':
Proto Recv-Q Send-Q Local Address Foreign Address State Benutzer
tcp 0 0 schnecke:ssh schnecke:1024 VERBUNDEN root
tcp 0 48 schnecke:1024 schnecke:ssh VERBUNDEN ich
Oben ist der Server, unten der Client.
Grüße,
Daniel.
--
..... Daniel Hofmann <usenet@shadowprint.de> .....
Reply to: