logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-03-2019 15:13:10

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Interdire l'accès au Net via quelle commande ?

Bonjour à tous smile

Je sais que l'on peut interdire à un user voire une groupe, l'accès au réseau.
Mais comment ?
Iptables ? J'ai bien tenté un seftacl sur Wired connexion 1, mais l'user en question (créé pour l'occasion) qui n'est dans aucun groupe (sauf le sien) se connecte quand-même. J'ai dû mal bifouiller mon truc sad
Je cherche du côté de groupmod ou usermod, mais... trouve pas.

Je cherche du côté de permissions sur réseau.
Merci smile

Hors ligne

#2 11-03-2019 15:31:37

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : Interdire l'accès au Net via quelle commande ?

Quel résultat pour

groups tonuser



regarde les commandes addgroup, delgroup, adduser, useradd, deluser.
Ex :

man deluser


Retire un utilisateur d'un groupe
Lorsqu'il  est appelé avec deux paramètres qui ne sont pas des options,
deluser retire un utilisateur d'un groupe particulier.


Le groupe qui t'interesse est netdev.


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#3 11-03-2019 15:32:52

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès au Net via quelle commande ?

Lupa a écrit :

J'ai bien tenté un seftacl sur Wired connexion 1


Qu'est-ce que tu as fait exactement ?


Il vaut mieux montrer que raconter.

Hors ligne

#4 11-03-2019 16:48:51

Erutluc
Membre
Inscription : 25-12-2017

Re : Interdire l'accès au Net via quelle commande ?

Salut. Le module 'owner' d'iptable permet de filtrer des paquets en fonction des groupes et des utilisateurs.

man iptables-extensions

Hors ligne

#5 11-03-2019 20:16:22

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès au Net via quelle commande ?

Bonsoir.
@Y316 : justement : mon user n'était dans aucun autre groupe que le sien. Et donc pas dans netdev. C'est ça que je ne comprends pas.
@Raleur : Tu as raison ! J'aurais dû le noter. Et puis gérer la connexion elle-même à travers les ACL, c'est un peu casse-geule pour rien : qu'est-ce qui l'empêchera de créer une nouvelle connexion ?
@Erutluc : c'est ce que je cherchais wink "Filtrer les paquets" : les flux réseaux réseau, je suppose ? Je vais bosser ça.

@Tous : je me suis traduit et imprimé le fichier /usr/share/doc/base-passwd/users-and-groups.html Et là... J'ai eu des surprises ! Sauf à appeler la commande sudo si un user n'est pas dans le groupe sudo, il peut faire beaucoup de choses... sans être membre d'aucun de ces groupes  "natifs". Sudo, forcément, ça ne passe pas. Mais le reste, si. Lire un CD ou DVD, monter un dd externe... Evidemment, pas flinguer des fichiers dans /etc, ou /usr/applications, par exemple. Ni même lire la plupart.
Donc, mon user 'test ' n'était pas dans netdev... mais il se connectait à Internet.
Pour les privilèges relatifs à des logiciels à risque, reste AppArmor. Pour GParted, je ne pense pas : si un user n'est pas dans le groupe sudo, ça m'étonnerait qu'il puisse le lancer.

Bref, ce serait bien que je puisse leur appliquer effectivement les permissions inhérentes à ces groupes... Ils servent bien à quelque chose (sauf ceux maintenus pour des "raisons historiques", (je cite)) ?
scratchhead.gif

Hors ligne

#6 11-03-2019 22:30:25

Y316
Membre
Distrib. : stretch
Noyau : Linux 4.9.0-8-amd64
(G)UI : MATE 1.16.2
Inscription : 15-11-2012

Re : Interdire l'accès au Net via quelle commande ?

Si tu veux bien essayer :

Passer ton user en groupe users et supprimer le groupe au nom de ton user.


Edit : users

Dernière modification par Y316 (12-03-2019 17:36:39)


Debian 9 (stretch)  + la pire ICC que vous ayez probablement jamais rencontré.

Hors ligne

#7 12-03-2019 11:19:18

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès au Net via quelle commande ?

Lupa a écrit :

Et puis gérer la connexion elle-même à travers les ACL, c'est un peu casse-geule pour rien : qu'est-ce qui l'empêchera de créer une nouvelle connexion ?


Qu'entends-tu exactement par "connexion" ? On dirait que tu parles d'u fichier, mais une interface réseau n'est pas un fichier ni même un périphérique au sens Unix (/dev/*) sur lequel on peut définir des permissions.


Il vaut mieux montrer que raconter.

Hors ligne

#8 12-03-2019 16:31:32

hyrr0
Membre
Distrib. : Debian stable
Inscription : 12-01-2018

Re : Interdire l'accès au Net via quelle commande ?

Salut!

Perso j'irais taper sur un firewall pour ça. C'est un peu délicat puisqu'il faut bloquer internet sans bloquer pour autant le réseau. Si t'as une imprimante en ligne ou autre, ça peut toujours servir. Du coup, je partirai sur un truc comme ça :

iptables -t mangle -A OUTPUT -o eth0 -m owner --uid-owner 1234 -j DROP



remplacer 1234 par l'uid de l'USER en question.

la règle est à adapter puisque là, elle va bloquer l'envoi de paquets sur eth0. Peut-être devras-tu ajouter l'interface wifi également et autoriser le réseau local... bref, tu peux t'amuser ^^

Hors ligne

#9 13-03-2019 22:07:53

yole1
Membre
Distrib. : Debian9
(G)UI : Cinnamon
Inscription : 08-08-2017

Re : Interdire l'accès au Net via quelle commande ?

si tu veux voir qui est logué

w


Gestion des sessions utilisateur:
Voir qui est logué: w
Désactiver temporairement un utilisateur: sudo vipw et mettre un # devant son login.
Déloguer de force un utilisateur: sudo pkill -u utilisateur mate-session (mate-session ou le processus visible quand vous faites w).
lu chez sebsauvage

Dernière modification par yole1 (13-03-2019 22:11:44)

Hors ligne

#10 17-04-2019 09:48:18

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès au Net via quelle commande ?

Bonjour à tous smile

@ Y316 : je l'ai fait. Sans résultat. Je l'ai même l'utilisateur ôté de son groupe, viré ce groupe, et lui ai défini users en primaire.
Je pense qu'il vaut mieux passer par iptables.

Hors ligne

#11 24-04-2019 09:47:40

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Interdire l'accès au Net via quelle commande ?

hello,
Et neutraliser le(s) service(s) réseau(x) à l'entrée en session de tel ou tel utilisateur, ça doit être possible non?
ça peut être pas mal comme idée,, non?
JC

science sans conscience n'est que ruine de l'âme...

Hors ligne

#12 24-04-2019 11:54:26

Lupa
Membre
Distrib. : Debian Stretch 4.9.110-3+deb9u6 / Buster
Noyau : 4.9.0-8-amd64 (Stretch) Buster : 5.4.0-0.bpo.2-amd
(G)UI : xfce
Inscription : 28-06-2017

Re : Interdire l'accès au Net via quelle commande ?

Bonjour smile
Oui, c'est une idée.
Mais comment ? Sans passer par iptables, qui paraît tout indiqué ?
Je vais creuser ça. Neutraliser les services réseaux.
Je donne le retour wink
Merci wink

Hors ligne

#13 24-04-2019 14:39:21

d33p
Membre
Lieu : Cantal
Distrib. : Debian bookworm 64bits
Noyau : Linux 5.16.0-5-amd64
(G)UI : GNOME
Inscription : 01-12-2015

Re : Interdire l'accès au Net via quelle commande ?

Hello,
J'ai pas testé, je suis au boulot, mais un truc du genre :

sudo systemctl disable NetworkManager.service



Ou du genre :

ip link set "interface-à-desactiver" down



A placer dans un script au démarrage dans les /home des profils que tu veux empêcher d'aller sur le net.
Vous en pensez quoi?
C'est une idée...
JC


science sans conscience n'est que ruine de l'âme...

Hors ligne

#14 24-04-2019 15:00:58

raleur
Membre
Inscription : 03-10-2014

Re : Interdire l'accès au Net via quelle commande ?

Bof.
Un utilisateur normal n'a pas les privilèges nécessaires pour exécuter ces commandes, et rien ne l'empêche de supprimer le script s'il est dans son répertoire personnel.
D'autre part, ça ne fait pas qu'interdire l'accès au réseau à cet utilisateur, ça le bloque pour tout le monde y compris les services.

Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums