Додайте користувача до групи, яка може отримати доступ до мережевих інтерфейсів

9

Наразі я встановлюю IDS (suricata), який наразі працює лише як sudo через те, що коли користувач працює, він не може отримати доступ / змінити параметри мережевого інтерфейсу.

Чи можна додати користувача до групи, яка може отримати доступ до мережевих інтерфейсів, або є альтернативне безпечне рішення, яке вирішує мою проблему?

networking  user-management 
дієджук
джерело

Відповіді:

1

Ви можете дозволити користувачу запускати певний інструмент з rootпривілеєм, редагуючи /etc/sudoersфайл. Наприклад, ви можете дозволити користувачеві, котрий не користується коренем, не запускати лише ifconfigкоманду, і він не може отримати доступ до привілейованих речей, таких як перегляд /etc/shadow.

Отже, створіть нормального користувача ( МЮСЕР у моєму прикладі). Не додайте його до груп rootчи sudoгруп. Редагуйте /etc/sudoersулюбленим редактором, як vim. Додайте цей рядок під # User privilege specification:

MYUSER    ALL=(root) NOPASSWD :/sbin/ifconfig *

Тоді отримайте доступ із ifconfigвикористанням, sudoколи ви ввійшли як MYUSER . Наприклад:

sudo ifconfig eth0 down

Замінити ifconfigв цій відповіді з будь-яким інструментом ви хочете як tcpdump, tsharkі т.д.

Довідка тут .

SuB
джерело
0

Додати користувача до групи "netdev":

useradd -G netdev dedunud
дедунумакс
джерело
2
Спробував, що я зробив "sudo usermod -a -G netdev myuser", але не пощастило.
deejuk
0

У Wireshark є група, до якої користувачі можуть бути додані, наприклад, для зйомки пакетів. Це довелося реалізувати. (Якщо я не згадав неправильно)

Можливо, ви могли б поєднати IDS з tshark / wireshark.

В іншому випадку це може бути трохи складніше (можливо, подивіться, як вони це зробили?)

серв
джерело
0

спробуйте додати користувача до групи "netdev", використовуючи команду usermod замість команди useradd. Зауважте, що користувач повинен бути наявним користувачем. Я це робив сам на Ubuntu 16.04 LTS, і він працює:

sudo usermod -a -G netdev <user>

після цієї команди перевірте, чи додано користувача, виконуючи:

id <user>

якщо його не додано, спробуйте перезапустити / вийти із системи та виконайте вище команду (id) знову

ПОПЕРЕДЖЕННЯ: У першій команді НЕ пропустіть '-a'. Будь обережний

abyt23
джерело
1
Я тестував на Ubuntu 16.04 і він не працює. Помилка:SIOCSIFFLAGS: Operation not permitted
SuB
@SuB, можливо, користувач вже є частиною netdev. Введіть 'groups' або 'id' у терміналі, щоб дізнатися, чи є поточний користувач netdev group
abyt23
Це дезоне не бути netdevгруповим. помилка виникає, коли я бігаю ifconfig eth0 upне тоді, коли бігаюusermod
SuB
введіть id у терміналі і перевірте, чи є поточний користувач групи
netdev
Так. Я додав його до netdevгрупи, але відображається помилка.
SuB
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.