Netzwerk Device "verstecken"

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
blaue0
Posts: 22
Joined: 2004-06-25 00:37

Netzwerk Device "verstecken"

Post by blaue0 »

Hallo,

auf meinen Servern läuft für administrative Zwecke ein OpenVPN. Nur auf der OpenVPN Schnittstelle "hört" SSHd auf neue Connections. Ausgenommen ist ein "Master" Server, von da aus nehmen die SSHds ihre Connections auch an (falls das OpenVPN mal kaputtgeht).

Nun, wenn ein Kunde auf einem "Slave" Server geschickt genug ist, kann er ohne weiteres über das OpenVPN kommunizieren. Gibt's eine Möglichkeit den Usern den Zugang zum OpenVPN Device (tap0) zu sperren und nur Root die Berechtigung zu geben?

Gruss
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Netzwerk Device "verstecken"

Post by lord_pinhead »

Ausser Portknocking und IP Sperre (feste IP vorrausgesetzt)? Preshared Keys und eigenartigen Port verwenden. Oder ist der OVPN auf der Kiste mit den Usern?

Edit: Eine IPTables Regeln mit match-owner wäre eine Regelung dafür, schau dafür einmal in die IPTables Manpage.
blaue0
Posts: 22
Joined: 2004-06-25 00:37

Re: Netzwerk Device "verstecken"

Post by blaue0 »

Auf jedem Server läuft ein OpenVPN Client. Also ist dort ein Device tun0 vorhanden. Und genau dieses sollen "normale" User (z.B. in einer eigenen Gruppe) nicht verwenden dürfen...

Geht das?
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Netzwerk Device "verstecken"

Post by lord_pinhead »

Kann ich mir im moment nur mit GRSecurity Regeln vorstellen oder mit einer IPTables Regel. man iptables und nach owner suchen, dann solltest du nur eine Regelschreiben das nur root das Device nutzen darf, sollte eigentlich reichen.

Warum haben die Leute eigentlich ein Nutzerzugang, hast du da keine angst das jemand sich zu root aufschwingt durch ein einfachen Exploit?
blaue0
Posts: 22
Joined: 2004-06-25 00:37

Re: Netzwerk Device "verstecken"

Post by blaue0 »

Wenn PHP läuft können sie ohne Probleme über das VPN kommunizieren. Shellzugang bekommen sie sicher nicht.
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Netzwerk Device "verstecken"

Post by lord_pinhead »

Na dann, lass einfach PHP als CGI laufen mit Fastcgi, dann sollten sie nichtmal zugriff drauf bekommen. Haben sowisso keine Keys hinterlegt, von daher sollte das sowisso kein Problem geben.
blaue0
Posts: 22
Joined: 2004-06-25 00:37

Re: Netzwerk Device "verstecken"

Post by blaue0 »

Nein, du scheinst mich falsch zu verstehen.

Da hat es ein Device (tun0), welches konstant mit dem Masterserver als OpenVPN verbunden ist. Und da sollen keine User zugriff haben.
golloza
Posts: 23
Joined: 2005-01-03 17:27

Re: Netzwerk Device "verstecken"

Post by golloza »

Wie schon gesagt, kann man das einfach mit iptables lösen:

Code: Select all

iptables -A output -o tap0 -m owner --owner-uid $kunde -j REJECT
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Netzwerk Device "verstecken"

Post by lord_pinhead »

Sofern der Kunde nicht schon Rootzugriff sich verschafft hat läuft das wunderbar. Aber ich frag mich warum du eine dauerhafte Verbindung zu deinen Server aufbaust, eine SSH Verbindung (die das selbst ist wie OpenVPN) mit Preshared Keys (ausnahmsweise ohne Passwörter) bewirkt das selbe und kann im Normalfall auch von einen Cronscript ausgeführt werden, eine dauerhafte Verbindung ist eigentlich 1) unsicher 2) nicht nötig .