Ein Webuser muss ja eigentlich keine Ports oeffnen. Wenn PHP unter dem jeweiligen Benutzer ausgefuehrt wird, dann kann iptables mit dem Modul "owner" der Gruppe der Webuser verbieten, Kontakt zur Aussenwelt aufzunehmen. Das bezieht sich jetzt nur auf den "Normalanwender". (Spezielle Loesungen fuer Webuser die via fopen() nach draussen moechten, koennen ja getrennt behandelt werden).
Habe ich etwas uebersehen, oder ist das gar keine so schlechte Idee?
Kl. Anmerkung: Das woody-iptables Binary kommt mit dem Modul irgendwie nicht ganz klar. Mit Version 1.2.9 von iptables geht es dann auch unter Debian.
Code: Select all
iptables -v -A OUTPUT -m owner --gid-owner <wwwuser-gid> -j REJECT