特定のユーザーがlocalhostのみを使用するように制限できますか？

Question

以下を使用してユーザーのトラフィックをフィルタリングできます。iptablesオーナーモジュールループバックインターフェイスのみが許可されます。

# accept incoming packets to loopback device
iptables -A OUTPUT -m owner --uid $USER -o lo -j ACCEPT
# drop everything else
iptables -A OUTPUT -m owner --uid $USER -j DROP

上記のルールを使用すると、ユーザーは受信したメッセージに応答できない場合でも、無制限のポートでリッスンするプロセスを作成できます。システム全体のホワイトリストでルールを作成することもできます。つまり、良好なトラフィックをすべて最初に受け入れ、残りはすべて破棄します。

着信トラフィックをフィルタリングするために所有者モジュールを使用することはできません（参照：マニュアルページ）以下を許可するように入力チェーンを設定できます。確立された明示的に許可されていない他の受信トラフィックを破棄します。

# change default action to drop
iptables -P INPUT DROP
# allow established connections (replies)
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

ネットワークポートでリッスンしているサービスを実行している場合は、そのサービスがトラフィックをリッスンできるように適切なルールを追加する必要があります。

Answer 1

以下を使用してユーザーのトラフィックをフィルタリングできます。iptablesオーナーモジュールループバックインターフェイスのみが許可されます。

# accept incoming packets to loopback device
iptables -A OUTPUT -m owner --uid $USER -o lo -j ACCEPT
# drop everything else
iptables -A OUTPUT -m owner --uid $USER -j DROP

上記のルールを使用すると、ユーザーは受信したメッセージに応答できない場合でも、無制限のポートでリッスンするプロセスを作成できます。システム全体のホワイトリストでルールを作成することもできます。つまり、良好なトラフィックをすべて最初に受け入れ、残りはすべて破棄します。

着信トラフィックをフィルタリングするために所有者モジュールを使用することはできません（参照：マニュアルページ）以下を許可するように入力チェーンを設定できます。確立された明示的に許可されていない他の受信トラフィックを破棄します。

# change default action to drop
iptables -P INPUT DROP
# allow established connections (replies)
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

ネットワークポートでリッスンしているサービスを実行している場合は、そのサービスがトラフィックをリッスンできるように適切なルールを追加する必要があります。

特定のユーザーがlocalhostのみを使用するように制限できますか？

ベストアンサー1

おすすめ記事