Tôi hiện đang thiết lập IDS (suricata), hiện chỉ chạy dưới dạng sudo do khi chạy với tư cách người dùng, nó không thể truy cập / thay đổi cài đặt giao diện mạng.
Có cách nào bạn thêm người dùng vào một nhóm có thể truy cập giao diện mạng hoặc có giải pháp bảo mật thay thế nào giải quyết vấn đề của tôi không?
Câu trả lời:
Bạn có thể cho phép người dùng chạy công cụ cụ thể với rootđặc quyền bằng cách chỉnh sửa /etc/sudoerstệp. Ví dụ: bạn có thể cho phép người dùng không phải là người không phải root chỉ chạy ifconfiglệnh, vì vậy anh ấy / cô ấy không thể truy cập vào những thứ đặc quyền gốc như xem /etc/shadow.
Vì vậy, hãy tạo một người dùng bình thường ( MYUSER trong ví dụ của tôi). Đừng thêm nó vào roothoặc sudonhóm. Chỉnh sửa /etc/sudoersvới trình soạn thảo yêu thích của bạn như thế nào vim. Thêm dòng này dưới # User privilege specification:
MYUSER ALL=(root) NOPASSWD :/sbin/ifconfig *
Sau đó truy cập ifconfigbằng cách sử dụng sudokhi đăng nhập với tên MYUSER . Ví dụ:
sudo ifconfig eth0 down
Thay thế ifconfigtrong câu trả lời này với bất kỳ công cụ mà bạn muốn như tcpdump, tsharkvv
Tham khảo ở đây .
Trong Wireshark, có một nhóm người dùng có thể được thêm vào để chụp các gói, ví dụ. Điều này đã được thực hiện. (Trừ khi tôi đánh giá sai)
Có lẽ bạn có thể kết hợp IDS với tshark / wireshark.
Nếu không, nó có thể khó hơn một chút (có thể xem họ đã làm như thế nào?)
hãy thử thêm người dùng vào nhóm "netdev" bằng lệnh usermod thay vì lệnh useradd. Lưu ý rằng người dùng phải là người dùng hiện có. Tôi đã thực hiện điều này trên Ubuntu 16.04 LTS và nó hoạt động:
sudo usermod -a -G netdev <user>
sau lệnh này, kiểm tra xem người dùng có được thêm hay không bằng cách thực hiện:
id <user>
nếu không được thêm, hãy thử khởi động lại / đăng xuất và thực hiện lại lệnh (id)
CẢNH BÁO: KHÔNG bỏ sót '-a' trong lệnh đầu tiên. Hãy cẩn thận
SIOCSIFFLAGS: Operation not permitted
netdevnhóm. lỗi xảy ra khi tôi chạy ifconfig eth0 upkhông phải khi tôi đang chạyusermod
netdevnhóm nhưng lỗi được hiển thị.