Với iptables trong CentOS 5 và 6 Linux - làm thế nào bạn có thể ngăn chặn các tiến trình đang chạy như root , apache hoặc không ai bắt đầu các kết nối đi?
Trên CentOS 5 Linux, tôi đã thử đặt các dòng này vào / etc / sysconfig / iptables:
-A OUTPUT -m owner --uid-owner root -j DROP
-A OUTPUT -m owner --uid-owner apache -j DROP
-A OUTPUT -m owner --uid-owner nobody -j DROP
nhưng không may nhận được lỗi:
# sudo service iptables restart
iptables: Flushing firewall rules: [ OK ]
iptables: Setting chains to policy ACCEPT: filter [ OK ]
iptables: Unloading modules: [ OK ]
iptables: Applying firewall rules: iptables-restore v1.4.7: owner: Bad value for "--uid-owner" option: "apache"
Error occurred at line: 27
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
[FAILED]
bạn không thể làm điều đó bằng iptables. iptables chỉ kiểm tra các gói ip và không có thông tin nào về uid / gid trong đó. iptables chỉ có thể chặn các gói theo các trường nguồn / đích, cổng, ...
—
Goez
Tôi biết rằng pf của OpenBSD có thể làm điều đó. Và dường như cũng có chủ sở hữu -m trong iptables Linux. Vì vậy, có lẽ bạn đã sai?
—
Alexander Farber
Nếu tôi kiểm tra trang của mình, -m là viết tắt của kết hợp (mô-đun) và không dành cho chủ sở hữu, có thể có một mô-đun cho chủ sở hữu của quy trình, không chắc chắn.
—
Goez
Theo cách hiểu của tôi, "chủ sở hữu" nói với iptables: "vui lòng tải mô-đun 'chủ sở hữu', để chúng tôi có thể làm mọi việc"
—
Alexander Farber
Chỉ cần kiểm tra, thực sự có một mô-đun chủ sở hữu. Chưa bao giờ nghe điều đó. Nhưng nó hoạt động với id số, vì vậy anh ta sẽ phải thay đổi quy tắc của mình
—
Goez