Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-07-09 07:28:36

  HaPe - Użytkownik

HaPe
Użytkownik
Zarejestrowany: 2014-07-09

Szukam odpowiednika mod_portacl z FreeBSD

Witam, szukam odpowiednika w Linuxie mod_portacl znanego z mac we FreeBSD. Chcę móc określić, które porty może bindować dany użytkownik. Nie jest to wykonalne przez iptables (tak myślę), ponieważ dany port przez działającą aplikację będzie już zablokowany w socket, jedynie ruch nie będzie mógł opuścić serwera.

Ostatnio edytowany przez HaPe (2014-07-09 18:51:13)

Offline

 

#2  2014-07-09 07:43:13

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Da się przez Selinuxa,  albo Grsecurity.

Jak chcesz konfigurować system cały tydzień, to SElinux, jak cały dzień, to Grsecurity ACL. :D
Poza tym netiflter starcza w zupełności, w nim możesz każdemu użytkownikowi  INPUT i OUTPUT potraktować osobno, a na serwerach zazwyczaj każdy demon sieciowy wisi z uprawnieniami innego użytkownika.

Do tego pojawił się support netfilter-cgroup, do wygodnego zarządzania procesami przez system Cgroup, ale support do Netfiltera w Cgroup na razie nie działa, także trzeba trochę poczekać.
Dodatkowo teraz jest migracja z iptables na nftables, stad się troszkę bajzlu zrobiło.
Narzędzi CI wystarczy na pewno, chociaż robi się to zupełnie inaczej, niż w w BSD.

Nie jest to wykonalne przez iptables (tak myślę), ponieważ dany port przez działającą aplikację będzie już zablokowany w socket[/quote]
Nftables chyba przy blokadzie w ogóle blokuje bindowanie portu,
i da się to ustawić per/user.

EDIT:
W Grsecu poza ACL jest też prostsza opcja:

Kod:

CONFIG_GRKERNSEC_SOCKET=y
CONFIG_GRKERNSEC_SOCKET_ALL=y
CONFIG_GRKERNSEC_SOCKET_ALL_GID=901
CONFIG_GRKERNSEC_SOCKET_CLIENT=y
CONFIG_GRKERNSEC_SOCKET_CLIENT_GID=903
CONFIG_GRKERNSEC_SOCKET_SERVER=y
CONFIG_GRKERNSEC_SOCKET_SERVER_GID=905

Zarządza się tym potem przez sysctl i grupy systemowe.
Sznurek:
http://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configuration_Options#Deny_any_sockets_to_group

Do tego jest też Capabilities:
https://www.gentoo.org/proj/pl/hardened/capabilities.xml

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-07-09 08:03:45)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2014-07-09 13:26:43

  HaPe - Użytkownik

HaPe
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

Dzięki za info, jak coś to jeszcze będę pytał.
Odnośnie acl w grsec, znam to (konfigurowalne w menuconfig), lecz tutaj nie jestem w stanie zdefiniować konkretnych portów.

A z iptables/nftables itd. zobaczę jak jest z tym bindowaniem, wpierw danemu userowi zablokuje dany port, a potem spróbuje na nim odpalić serwer www pythona.

Ostatnio edytowany przez HaPe (2014-07-09 13:31:23)

Offline

 

#4  2014-07-09 13:44:28

  admetus - Użytkownik

admetus
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

[quote=Jacekalex]Do tego pojawił się support netfilter-cgroup, do wygodnego zarządzania procesami przez system Cgroup, ale support do Netfiltera w Cgroup na razie nie działa, także trzeba trochę poczekać.[/quote]
Cgroup w iptables działa od grudnia 2013 roku. Wystarczyło skorzystać z git-a i gałęzi iptables - next-3.14. Z resztą w maju została połączona z główną.
https://git.netfilter.org/iptables/commit/?id=01dcfdab11a6583d899bfc34758e8f9996774d21

Offline

 

#5  2014-07-09 15:36:08

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

[quote=admetus][quote=Jacekalex]Do tego pojawił się support netfilter-cgroup, do wygodnego zarządzania procesami przez system Cgroup, ale support do Netfiltera w Cgroup na razie nie działa, także trzeba trochę poczekać.[/quote]
Cgroup w iptables działa od grudnia 2013 roku. Wystarczyło skorzystać z git-a i gałęzi iptables - next-3.14. Z resztą w maju została połączona z główną.
https://git.netfilter.org/iptables/commit/?id=01dcfdab11a6583d899bfc34758e8f9996774d21[/quote]
To faktycznie bardzo dobra nowina, niestety, mam z nią taki problem, że git.netfilter.org mnie najwyraźniej nie lubi :D

Kod:

* Fetching git://git.netfilter.org/iptables.git ...
fatal: unable to connect to git.netfilter.org:
git.netfilter.org[0: 150.214.142.167]: errno=Connection timed out

git fetch git://git.netfilter.org/iptables.git +HEAD:refs/git-r3/HEAD
fatal: unable to connect to git.netfilter.org:
git.netfilter.org[0: 150.214.142.167]: errno=Connection timed out

Od co najmniej kwietnia mam podobny cyrk (próbowałem po zainstalowaniu jajka 3.14).

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2014-07-09 15:37:14)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2014-07-09 17:08:23

  admetus - Użytkownik

admetus
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

Proponuję tak:

Kod:

git clone git://git.netfilter.org/iptables.git

Nic mi nie wiadomo o żadnych blokadach ip jakie stosuje netfilter.org, ale możesz z konfigurować git-a, tak aby korzystał z proxy. Jeśli jakimś cudem trafiłeś na czarną listę. Jedna linijka w configu (gitproxy).

Adres ftp do codziennych wydań.
ftp://ftp.netfilter.org/pub/iptables/snapshot/

lub możesz pobrać ostatni snapshot z pomocą webowego interfejsu (cgit).
https://git.netfilter.org/iptables/

Offline

 

#7  2014-07-09 17:45:43

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

[s]Ja też nie widzę żadnych blokad, ale coś gitowi nie pasuje, przy czym do innych źródeł muszę sobie naskrobać ebuilda.
Choć z drugiej strony iptables-1.4.21 mam normalnie dostępny, ale na jaju >3.13 za Chiny Ludowe się nie chciał skompilować, dlatego mam starszą wersję 1.4.20. [/s]

Ale WTOPA:
FF nie potrafił otworzyć
ftp.netfilter.org/pub/iptables/snapshot/

A ja po prostu zapomniałem, że mam ustawionego peerblocka.

Kod:

host ftp.netfilter.org
ftp.netfilter.org has address 150.214.142.167


ipset test  peerblock 150.214.142.167
150.214.142.167 is in set peerblock.

Dzięki za ten adres ftp.

Pozdro
xD


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#8  2014-07-09 18:30:46

  HaPe - Użytkownik

HaPe
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

Niestety, ale iptables nie blokuje bindowania portu, jedynie blokuje ruch.

Offline

 

#9  2014-07-09 19:18:05

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Oczywiście, że nie blokuje bindowania portu, taką funkcjonalność zauważyłem w nftables - kiedy dałem drop na output ipv6 - ping nie mógł otworzyć socketu.

Z iptables i cgroup na razie porażka:
Skompilowany prosto z git, pokazuje wersję

Kod:

iptables v1.4.21

A tymczasem:

Kod:

 iptables -m cgroup --help
iptables v1.4.21: Couldn't load match `cgroup':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Także to jeszcze troszkę potrwa.

Kod:

CONFIG_NETFILTER_XT_MATCH_CGROUP=y

w jaju włączony na 100%.
Jajo 3.15.4-grsec.

Ostatnio edytowany przez Jacekalex (2014-07-09 19:19:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-07-09 19:23:40

  HaPe - Użytkownik

HaPe
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

A przypadkiem zapytania icmp nie są realizowane z uprawnieniami roota?

Offline

 

#11  2014-07-09 19:47:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Próbowałem z roota, takie rzeczy zawsze sprawdzam w pierwszej kolejności.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2014-07-09 20:48:48

  admetus - Użytkownik

admetus
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

[quote=Jacekalex]Z iptables i cgroup na razie porażka:
Skompilowany prosto z git, pokazuje wersję

Kod:

iptables v1.4.21

A tymczasem:

Kod:

 iptables -m cgroup --help
iptables v1.4.21: Couldn't load match `cgroup':No such file or directory

[/quote]
Czy Ty jesteś poważny? Co te pliki robią w głównej gałęzi iptables?
https://git.netfilter.org/iptables/plain/extensions/libxt_cgroup.c
https://git.netfilter.org/iptables/plain/extensions/libxt_cgroup.man

Ciekaw jestem jakim to sposobem u mnie się znalazło? Może krasnoludki przyniosły?
Przypominam sklonowałem iptables z gita, przełączyłem się na branch 'next-3.14'. Wydałem polecenie ./configure --prefix=/opt/iptables-git && make && make install.

Kod:

ls -l /opt/iptables-git/lib/iptables/libxt_cgroup.so
-rwxr-xr-x 1 root root 7524 19-04-2014 00:17 /opt/iptables-git/lib/iptables/libxt_cgroup.so

Kod:

/opt/iptables-git/bin/iptables -A OUTPUT -m cgroup --cgroup 1 -j DROP
/opt/iptables-git/bin/iptables -L OUTPUT -n -v --line-numbers

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            cgroup 1

/opt/iptables-git/bin/iptables -D OUTPUT 1

Offline

 

#13  2014-07-09 23:25:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Miałem tu iptables z git, w helpie było widać moduł cgroup, w regułach nie, a przy dodawaniu dowolnej reguły pluł się o konfig /etc/xttables/connlabel.conf

Kod:

cannot open connlabel.conf, not registering 'connlabel' match: No such file or directory

Teraz też mam wersję z git, tylko jakichś starszy commit, bez cgroup, zainstalowany z tego ebuilda:
http://data.gpo.zugaina.org/srcshelton/net-firewall/iptables-nftables/

Nie pali się, jak zechcę, to połączenia wychodzące mogę obciąć grseciem, a z nową wersją ogniomurki poczekam, aż trafi pod strzechy, w Gentoo stabilna wersja w oficjalnym drzewku -  to nie powinno potrwać długo, na razie to jest ebuild z prywatnego repozytorium.
Może też coś utrudnia grsec na poziomie kernela, albo wtyczki hardened/pax  w gcc.

Zastanawiam się tylko, jaka jest różnica miedzy źródłami:
[b]git://git.netfilter.org/iptables[/b]  -tutaj cgroup jest, ale iptables u mnie wali błędem connlabel jak oszalały, przy dodawaniu kolejnych reguł.
[b]git://git.netfilter.org/iptables.git[/b]   tu jest jakiś commit bez łatki cgroup (instalacja z ebuilda ciągnie tą wersję).

Niby to samo repo, minimalna różnica w adresie, a ciągnie różne wersje?

Poczekam, aż Developerzy Gentoo wezmą sprawę na tapetę, może tam trzeba jakichś ekstra łatek.

W każdym razie dzięki za zaangażowanie.

EDIT:
Niezłe jaja, odświeżylem źródła z git, ponowna kompilacja ruszyło, ale z pewnymi oporami, sprawdzałem zmieniając parametr net_cls.classind, i nie działało, aż w końcu ruszyło dla FF, podejrzewam,  że zmiany w ustawieniach cgroup są aktualizowane w jakimś interwale czasowym, nie od razu.

Tylko przy konfigurowaniu skryptem FW fajnie to wygląda:

Kod:

~# mynetwork
************************* Ustawiam Firewalla ***************************
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success
ip6tables v1.4.21: The protocol family of set snort6 is IPv4, which is not applicable.

Try `ip6tables -h' or 'ip6tables --help' for more information.
################# sieć gotowa! ################################
cannot open connlabel.conf, not registering 'connlabel' match: Success
cannot open connlabel.conf, not registering 'connlabel' match: Success

Na stabilnym iptables-1.4.20 ten skrypt nie generuje ani śladu jakiegokolwiek błędu

Dzięki za pomoc. ;)

Ostatnio edytowany przez Jacekalex (2014-07-09 23:42:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#14  2014-07-11 19:25:00

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Szukam odpowiednika mod_portacl z FreeBSD

[quote=HaPe]Witam, szukam odpowiednika w Linuxie mod_portacl znanego z mac we FreeBSD. Chcę móc określić, które porty może bindować dany użytkownik. Nie jest to wykonalne przez iptables (tak myślę), ponieważ dany port przez działającą aplikację będzie już zablokowany w socket, jedynie ruch nie będzie mógł opuścić serwera.[/quote]
widze, ze strasznie potrzebujesz tego rozwiazania. Dlaczego po prostu nie zainstalujesz freebsd ?


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#15  2014-07-11 23:27:39

  HaPe - Użytkownik

HaPe
Użytkownik
Zarejestrowany: 2014-07-09

Re: Szukam odpowiednika mod_portacl z FreeBSD

Bo wolę Linuxa ;)

Offline

 

#16  2014-07-12 00:24:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Jak wolisz Linuxa, to zdecydowanie Grsec RBAC może regulować dostęp do portów, a jak chcesz pół roku kombinować z SElinuxem to też się da zrobić. Pół roku dlatego, że SElinuxem obowiązuje stara zasada - nie można być częściowo w ciąży.
JUż z trybem Targeted jest jazda ze znakowaniem systemu plików, profilami, blędami, itp.
W dodatku u mnie SElinux niektórych błędów nie logował w ogóle,
i musiałem się pierdolić w debugowanie programów.

Dlatego za SElinuxa się łapię tylko tam, gdzie jest domyślnie włączony i wstępnie skonfigurowany - np CentOS,  wtedy jest to dosyć łatwe.
Ale jak go mam konfigurować od zera na dystrybucji, gdzie nie jest domyślnie włączony, a system nie jest przetestowany pod kątem SElinuxa przez Developerów danej dystrybucji  to bardzo dziękuję za uwagę.

Jak W Tomoyo i Smack to zrobić nie wiem, jak chcesz w Apparmorze,
to musisz sobie napisać cały userspace do nowej wersji, bo tym się zajmują Developerzy Ubuntu. :D


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#17  2014-07-15 18:54:46

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Szukam odpowiednika mod_portacl z FreeBSD

Kolego wracajac do tematu, jest rozwiazanie na twoje pytanie. Taka mozliwosc ma TOMOYO. Wyglada byc bardzo obiecujacym projektem i latwym w uzyciu.

This directive allows the domain to perform network socket operations.

IPv4 and IPv6 addresses are both supported.

The syntax is summarised in the following table:

Directive
Function
network inet stream bind $ADDRESS $PORT
Bind TCP sockets to specified local IP address and port
network inet stream listen $ADDRESS $PORT
Listen TCP sockets at specified local IP address and port
network inet stream connect $ADDRESS $PORT
Connect TCP sockets to specified remote IP address and port
network inet dgram bind $ADDRESS $PORT
Bind UDP sockets to specified local IP address and port
network inet dgram send $ADDRESS $PORT
Send UDP packets to specified remote IP address and port
network inet raw bind $ADDRESS $PROTOCOL
Bind IP sockets for specified protocol to specified local IP address
network inet raw send $ADDRESS $PROTOCOL
Send IP packets for specified protocol to specified remote IP address
This example allows the domain to connect to port 80 on IP address 202.221.179.21:

network inet stream connect 202.221.179.21 80[/quote]
http://tomoyo.sourceforge.jp/2.5/policy-specification/domain-policy-syntax.html.en

Ostatnio edytowany przez bryn1u (2014-07-15 18:55:26)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

#18  2014-07-15 19:27:24

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: Szukam odpowiednika mod_portacl z FreeBSD

Grsec RBAC w kontekście portów i połączeń ipv4 jest dużo łatwiejszy od TOMOYO.
Nie ma jeszcze w RBAC ipv6, czeka w kolejce TODO.

https://grsecurity.net/pipermail/grsecurity/2011-June/001085.html
Grsec rośnie pomalutku, aż do skutku. xD

Ostatnio edytowany przez Jacekalex (2014-07-15 19:29:44)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#19  2014-07-15 21:37:46

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: Szukam odpowiednika mod_portacl z FreeBSD

[quote=Jacekalex]Grsec RBAC w kontekście portów i połączeń ipv4 jest dużo łatwiejszy od TOMOYO.
Nie ma jeszcze w RBAC ipv6, czeka w kolejce TODO.

https://grsecurity.net/pipermail/grsecurity/2011-June/001085.html
Grsec rośnie pomalutku, aż do skutku. xD[/quote]
Przypadkowo sie natknalem na ta opcje jak czegos szukalem. Osobiscie wole, zeby takie rozwiazania byly w jednym patchu niz, zeby kazde rozwiozanie pochodzilo z innego zrodla a pozniej jest jeden wielki burdel w linuxie. Jestem jak najbardziej za rback'iem.


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
[b]http://unix-ebooki.neth.pl/[/b]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.018 seconds, 12 queries executed ]

Informacje debugowania

Time (s) Query
0.00010 SET CHARSET latin2
0.00004 SET NAMES latin2
0.00104 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.81.252' WHERE u.id=1
0.00083 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.145.81.252', 1732827094)
0.00038 SELECT * FROM punbb_online WHERE logged<1732826794
0.00083 DELETE FROM punbb_online WHERE ident='18.218.245.179'
0.00043 SELECT topic_id FROM punbb_posts WHERE id=271385
0.00005 SELECT id FROM punbb_posts WHERE topic_id=26107 ORDER BY posted
0.00051 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26107 AND t.moved_to IS NULL
0.00007 SELECT search_for, replace_with FROM punbb_censoring
0.00111 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26107 ORDER BY p.id LIMIT 0,25
0.00923 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26107
Total query time: 0.01462 s