uprava firewallu nezkusenym uzivatelem

Ivo Panacek ivop na regionet.cz
Čtvrtek Listopad 21 14:11:48 CET 2002 

On Čt, 2002-11-21 at 13:54, Ing. Martin Homola wrote:
> a) suid bit na skripty neplati
> to jsem nevedel
> 
> b) na stroji s bezicim squidem nedochazi k _forwardovani_ na port 3128
> ano, zakat by bylo treba INPUT, spletl jsem se
> 
> c) je vam jasne, ze tim stopnete pristup na web _vsem_ ?
> pravidlo by platilo jen pro urcity rozsah adres, ktery vyuziva ucebna
> 
> d) je vam jasne, ze se to da obejit ?
> - zakany bude i pristup na port 80
> - na stanicich (winnt) je napevno nastavene pripojeni k internetu pres proxy
> - vic me nenapada, tudiz predpokladam, ze to nenapadne ani nase studentky

oho, mozna jejich pratele ano ..
> :-))

Nicmene to je snadno resitelne, nebot PRESNE tohle pouzivam:

- mam n konfiguraci pravidel (shell skripty), pro kazdou ze situaci
- mam skriptik, ktery zjisti nastavenou variantu a vypise na
  obrazovku, kam ze se to ma prepnout
  pokud si prilogovany uzivatel vybere jinou variantu,
  nez je aktualni :), zavola se pres ssh skript od roota,
  ktery patricnou zmenu provede

takze ten bezi pod normalnim uzivatelem => ma ho jako shell,
loguje (pro jistotu) veskere zmeny a navic si sam kontroluje
hesla (az nasledne), abych nemusel pro kazdeho uzivatele
delat extra account, proste ho jen pridam do tabulky.
Takze vlastni zmena se pak provede prikazem:

echo TEXT | ssh root na localhost
pricemz jsou spravne vygenerovane ssh identity
a pro toho uzivatele ma root v authorized_keys2
napsano command="/cesta/k/prepinacimu/programu",
kteryzto si ze STDIN precte TEXT a dle nej se zaridi.

ivo

PS: Oba sktipty prikladam, nejsou mozna elegantni,
ale slapou, upravte si je dle libosti. Bacha,
pred ctenim hesla NEVYPINA echo.
------------- další část ---------------
A non-text attachment was scrubbed...
Name: fwSwitch.pl
Type: text/x-perl
Size: 4657 bytes
Desc: 
URL: <http://www.linux.cz/pipermail/linux/attachments/20021121/e27110d4/attachment.bin>
------------- další část ---------------
A non-text attachment was scrubbed...
Name: setFwProfile.sh
Type: text/x-sh
Size: 858 bytes
Desc: 
URL: <http://www.linux.cz/pipermail/linux/attachments/20021121/e27110d4/attachment-0001.bin>

Další informace o konferenci Linux