Hallo,
auf meinen Servern läuft für administrative Zwecke ein OpenVPN. Nur auf der OpenVPN Schnittstelle "hört" SSHd auf neue Connections. Ausgenommen ist ein "Master" Server, von da aus nehmen die SSHds ihre Connections auch an (falls das OpenVPN mal kaputtgeht).
Nun, wenn ein Kunde auf einem "Slave" Server geschickt genug ist, kann er ohne weiteres über das OpenVPN kommunizieren. Gibt's eine Möglichkeit den Usern den Zugang zum OpenVPN Device (tap0) zu sperren und nur Root die Berechtigung zu geben?
Gruss
Netzwerk Device "verstecken"
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Netzwerk Device "verstecken"
Ausser Portknocking und IP Sperre (feste IP vorrausgesetzt)? Preshared Keys und eigenartigen Port verwenden. Oder ist der OVPN auf der Kiste mit den Usern?
Edit: Eine IPTables Regeln mit match-owner wäre eine Regelung dafür, schau dafür einmal in die IPTables Manpage.
Edit: Eine IPTables Regeln mit match-owner wäre eine Regelung dafür, schau dafür einmal in die IPTables Manpage.
-
blaue0
- Posts: 22
- Joined: 2004-06-25 00:37
Re: Netzwerk Device "verstecken"
Auf jedem Server läuft ein OpenVPN Client. Also ist dort ein Device tun0 vorhanden. Und genau dieses sollen "normale" User (z.B. in einer eigenen Gruppe) nicht verwenden dürfen...
Geht das?
Geht das?
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Netzwerk Device "verstecken"
Kann ich mir im moment nur mit GRSecurity Regeln vorstellen oder mit einer IPTables Regel. man iptables und nach owner suchen, dann solltest du nur eine Regelschreiben das nur root das Device nutzen darf, sollte eigentlich reichen.
Warum haben die Leute eigentlich ein Nutzerzugang, hast du da keine angst das jemand sich zu root aufschwingt durch ein einfachen Exploit?
Warum haben die Leute eigentlich ein Nutzerzugang, hast du da keine angst das jemand sich zu root aufschwingt durch ein einfachen Exploit?
-
blaue0
- Posts: 22
- Joined: 2004-06-25 00:37
Re: Netzwerk Device "verstecken"
Wenn PHP läuft können sie ohne Probleme über das VPN kommunizieren. Shellzugang bekommen sie sicher nicht.
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Netzwerk Device "verstecken"
Na dann, lass einfach PHP als CGI laufen mit Fastcgi, dann sollten sie nichtmal zugriff drauf bekommen. Haben sowisso keine Keys hinterlegt, von daher sollte das sowisso kein Problem geben.
-
blaue0
- Posts: 22
- Joined: 2004-06-25 00:37
Re: Netzwerk Device "verstecken"
Nein, du scheinst mich falsch zu verstehen.
Da hat es ein Device (tun0), welches konstant mit dem Masterserver als OpenVPN verbunden ist. Und da sollen keine User zugriff haben.
Da hat es ein Device (tun0), welches konstant mit dem Masterserver als OpenVPN verbunden ist. Und da sollen keine User zugriff haben.
-
golloza
- Posts: 23
- Joined: 2005-01-03 17:27
Re: Netzwerk Device "verstecken"
Wie schon gesagt, kann man das einfach mit iptables lösen:
Code: Select all
iptables -A output -o tap0 -m owner --owner-uid $kunde -j REJECT-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: Netzwerk Device "verstecken"
Sofern der Kunde nicht schon Rootzugriff sich verschafft hat läuft das wunderbar. Aber ich frag mich warum du eine dauerhafte Verbindung zu deinen Server aufbaust, eine SSH Verbindung (die das selbst ist wie OpenVPN) mit Preshared Keys (ausnahmsweise ohne Passwörter) bewirkt das selbe und kann im Normalfall auch von einen Cronscript ausgeführt werden, eine dauerhafte Verbindung ist eigentlich 1) unsicher 2) nicht nötig .