Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 02-10-2012 16:31:35

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

[ RESOLU ] Restriction Acces par utilisateur

Bonjour à tous,

Voilà j'ai actuellement en fonction un serveur LTSP sur lequel vient se connecter une petite dizaine de terminaux.

Jusque là par de problème, en fait, je cherche juste à restreindre l’accès au Web à certains comptes utilisateur ( sachant que ce sont des comptes système ), mais pas tous ...

Pour le moment le firewall bloque au niveau machine, donc l'enssemble des comptes, mais j'aimerais être plus fin à ce niveau.

Si vous avez une idée ?

Merci d'avance ,

Ch.

Dernière modification par stopher (04-10-2012 12:09:26)

Hors ligne

#2 04-10-2012 03:23:53

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : [ RESOLU ] Restriction Acces par utilisateur

Euhhh ben j'allais dire la même chose par le firewall, je vois pas d'autre idée comme ça.

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#3 04-10-2012 10:11:47

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : [ RESOLU ] Restriction Acces par utilisateur

Salut
 
-voir  la config de LTSP si elle peut déterminer quels applications sont autorisés ou non  avec tels utilisateur ?! 
      je ne saurais te répondre mais cependant je suis ce fil car le fonctionnement de LTSP m 'intéresse (projet d' expansion de cyber café à l' étranger à moindre coût)


-la solution serait peut être aussi une règle iptables gérant les uid et gid  utilisateurs  (jamais essayé non plus)
   voir --uid-owner  avec iptables

http://www.linux-noob.com/forums/index. … s-and-ips/

sinon tu as ça aussi que tu peux adapter:

http://easy.open.and.free.fr/TinyDansguard/

Dernière modification par nikau (04-10-2012 10:28:59)

Hors ligne

#4 04-10-2012 10:25:02

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : [ RESOLU ] Restriction Acces par utilisateur

Merci pour vos réponses,

Je peux aussi utiliser un proxy avec authentification ( comme l'a suggéré un utilisateur de debian-fr.org ).
Mais l'idée de aux ayant droit de saisir un login et mdp pour accéder au net ne me satisfait pas vraiment .

L'idée de l'iptable avec uid et gid me semble dans la théorie impeccable .. je vais creuser là dessus smile


@nikau
--- HS ---
Pour ce qui est de mettre en place un serveur LTSP, tu peux y aller les yeux fermés .. c'est super simple une fois que tu as compris le principe et plutôt bien foutu à administrer, pour ce qui est des clients, j'ai toutes sortes de terminaux ( vieux PC celeron, Linutop1, avec des affichages qui vont d'un simple écran 17" au dual screen 31" .
Si tu veux tester j'ai écrit ces deux tutos qui t'aideront certainement .

LTSP V5 et debian Squeeze
LTSP V5 lts.conf

Hors ligne

#5 04-10-2012 10:42:53

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : [ RESOLU ] Restriction Acces par utilisateur

merci , je vais regarder ça,   se servir de vieux matos comme terminal  m' intéresse.

Hors ligne

#6 04-10-2012 12:07:46

stopher
Membre
Lieu : lille
Distrib. : squeeze
Noyau : 2.6.32
(G)UI : Gnome
Inscription : 03-10-2008
Site Web

Re : [ RESOLU ] Restriction Acces par utilisateur

Bon il s’avère que nikau m'a donné la bonne piste ( pour les personnes intéressées , voici la procédure )

Il existe le module netfilter ipt_owner

pour l'activer :

modprobe ipt_owner



Ensuite, j'ai donc créé un fichier shell pour tester et créer mes règles, que voici


#!/bin/sh

#Supprime l'enssemble des régles
iptables -F

#Accepte les requetes en loopback
iptables -A OUTPUT -o lo -j ACCEPT

#On autorise les réquetes sur le réseau local
iptables -A OUTPUT -o eth0 -d 10.0.0.0/24 -j ACCEPT

#Compte autorisés à aller sur le net
iptables -A OUTPUT -o eth0 -m owner --uid-owner cdsl -j ACCEPT
iptables -A OUTPUT -o eth0 -m owner --uid-owner root -j ACCEPT

#Groupe(s) autorisés à aller sur le net
#iptables -A OUTPUT -o eth0 -m owner --gid-owner net -j ACCEPT

#On bloque les autres
iptables -A OUTPUT -j DROP
 



Voici les options disponibles pour le module

#Iptables' owner match extension adds four match criteria to the iptables command:
-- uid-owner UID: matches packets generated by a process whose user ID is UID
-- gid-owner GID: matches packets generated by a process whose group ID is GID.
-- pid-owner PID: matches packets generated by a process whose process ID is PID.
-- sid-owner SID: matches packets generated by a process whose session ID is SID.



Enfin pour un lancement automatique des régles au démarrage, voici les étapes :

1: Vous êtes satisfait de vos règles en place, on les sauvegardes donc :

iptables-save > /etc/iptables.up.rules



2: Nous allons appliquer les régles juste avant de connecter les interfaces réseaux

vim /etc/network/if-pre-up.d/iptables



Voici le contenu


#!/bin/bash
/sbin/iptables-restore < /etc/iptables.up.rules



3: On le rend exécutable

chmod +x /etc/network/if-pre-up.d/iptables



Merci à vous,

Ch.

Hors ligne

#7 04-10-2012 13:42:11

nikau
Banni(e)
Distrib. : jessie
Noyau : 3.16.0-4-amd64
(G)UI : Xfce 4.10.1
Inscription : 19-10-2011

Re : [ RESOLU ] Restriction Acces par utilisateur

bien vu.

juste une remarque: ton parefeu n 'est pas initialisé en DROP par défaut pour les entrées car  iptables -F ne fait que vider les règles mais ne détermine pas si  "INPUT OUTPUT FORWARD" par défaut  sont en ACCEPT ou DROP.
j' initialise toujours un parefeu iptables comme ci dessous avant d' ajouter les autre règles. 

iptables -t filter -F
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

Dernière modification par nikau (04-10-2012 13:46:13)

Hors ligne

Pied de page des forums