Dodaj użytkownika do grupy, która może uzyskać dostęp do interfejsów sieciowych

9

Obecnie konfiguruję IDS (suricata), który obecnie działa tylko jako sudo, ponieważ podczas pracy jako użytkownik nie może uzyskać dostępu / zmienić ustawień interfejsu sieciowego.

Czy istnieje sposób dodania użytkownika do grupy, która ma dostęp do interfejsów sieciowych, czy istnieje alternatywne bezpieczne rozwiązanie, które rozwiązałoby mój problem?

networking  user-management 
deejuk
źródło

Odpowiedzi:

1

Możesz zezwolić użytkownikowi na uruchamianie określonego narzędzia z rootuprawnieniami, edytując /etc/sudoersplik. Na przykład możesz zezwolić użytkownikowi nie-sudoerowi, który nie jest rootem, na uruchamianie tylko ifconfigpoleceń, aby nie mógł uzyskać dostępu do uprawnień uprzywilejowanych jako root, takich jak przeglądanie /etc/shadow.

Zatem utwórz normalnego użytkownika ( MYUSER w moim przykładzie). Nie należy dodawać go do rootlub sudogrupy. Edytuj za /etc/sudoerspomocą swojego ulubionego edytora, takiego jak vim. Dodaj ten wiersz pod # User privilege specification:

MYUSER    ALL=(root) NOPASSWD :/sbin/ifconfig *

Następnie uzyskaj dostęp ifconfigza pomocą, sudogdy jesteś zalogowany jako MYUSER . Na przykład:

sudo ifconfig eth0 down

Wymienić ifconfigw tym odpowiedzi z dowolnego narzędzia jak chcesz tcpdump, tsharkitp

Referencje są tutaj .

Pod
źródło
0

Dodaj użytkownika do grupy „netdev”:

useradd -G netdev dedunud
dedunumax
źródło
2
Próbowałem, że zrobiłem „sudo usermod -a -G netdev myuser”, ale bez powodzenia.
deejuk
0

W Wireshark istnieje grupa, do której można dodawać użytkowników, na przykład w celu przechwytywania pakietów. To musiało zostać wdrożone. (Chyba że źle zapamiętałem)

Może mógłbyś połączyć IDS z tshark / wireshark.

W przeciwnym razie może być nieco trudniej (może zobaczyć, jak to zrobili?)

serv-inc
źródło
0

spróbuj dodać użytkownika do grupy „netdev” za pomocą polecenia usermod zamiast polecenia useradd. Pamiętaj, że użytkownik musi być istniejącym użytkownikiem. Zrobiłem to sam na Ubuntu 16.04 LTS i działa:

sudo usermod -a -G netdev <user>

po tym poleceniu sprawdź, czy użytkownik został dodany, wykonując:

id <user>

jeśli nie został dodany, spróbuj ponownie uruchomić / wylogować się i ponownie wykonaj powyższe polecenie (id)

OSTRZEŻENIE: NIE pomijaj „-a” w pierwszym poleceniu. Bądź ostrożny

abyt23
źródło
1
Testowałem na Ubuntu 16.04 i to nie działa. Błąd:SIOCSIFFLAGS: Operation not permitted
SuB
@SuB może użytkownik jest już częścią netdev. Wpisz „groups” lub „id” w terminalu, aby sprawdzić, czy bieżący użytkownik należy do grupy
netdev
Nie dezorientuje netdevgrupy. błąd występuje, gdy działam, a ifconfig eth0 upnie, gdy usermod
działam
wpisz identyfikator w terminalu i sprawdź, czy bieżący użytkownik należy do grupy
netdev
Tak. Dodałem go do netdevgrupy, ale wyświetlany jest błąd.
SuB
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.