AF
Asterisk Forum
обсуждения телефонии, VoIP и IP-PBX
12разделов
5 423тем
34 385сообщений
← К списку тем

Запретить приложению доступ в инет

Unix Way 19 сообщений -
#1

Запретить приложению доступ в инет

Помогиет, плз, есть веб-приложение, которое запущено от имени рута и явы. Как мне ограничить этому приложению доступ в инет?
#2
если приложение запущено от рута то у него уже ПОЛНЫЕ права на всё. разве не логично? я не знаю кто может быть круче рута чтобы приказывать ему что делать. наверное нужно начать с того чтобы понизить права приложению, запуская его от юзера. и уже юзеру выставлять нужные права на то что нужно. как то так наверное..
а вообще - слишком мало конкретной информации по задаче - чтобы дать конкретный ответ. тут нужны детали.
#3
да, логично...

приложение запускается с помощью джавы, а джава под рутом... Как запустить джаву под другим пользователем?
#4
anest писал(а):
я не знаю кто может быть круче рута чтобы приказывать ему что делать.
Ну например ядро и его модули Wink iptables и прочее.
Но да, в данном случае нужно менять пользователя о чьего имени выполняется не желаемые сетевые операции.
_________________
Slackware 13.37 - Asterisk 1.8
#5
FeyFre писал(а):
Ну например ядро и его модули Wink iptables и прочеe.

Можно подумать у вас "ядро и его модули, iptables и прочее" не от рута пашут... или это спор ради самого спора? Wink

Added after 15 minutes:

SSS писал(а):
Как запустить джаву под другим пользователем?

Думаю chroot вам поможет.
#6
было можно так
iptables -I OUTPUT -m owner --uid-owner userid -j REJECT

а вообще придумали SELinux там много че можно назапрещять Smile
_________________
нанотехнолигии в области Asterisk
#7
SSS писал(а):
Как запустить джаву под другим пользователем?

Цитата:
Думаю chroot вам поможет.


А можно,плз, поподробнее?[/quote]
#8
Забанили в гугле? Wink
#9
anest писал(а):
FeyFre писал(а):
Ну например ядро и его модули Wink iptables и прочеe.

Можно подумать у вас "ядро и его модули, iptables и прочее" не от рута пашут... или это спор ради самого спора? Wink Да, пашут от рута, и модули подгружаются рутом, вот только пользуются ядром все пользователи. Ну например, драйвер файловой системы грузится рутом(не fuse), но как ни странно пользуются им все пользователи системы. Что мы имеем: драйвер, который загружается рутом в ядро и к которому может обратится любой пользователь(посредством пайпа, сокета, чем угодно), и слушая команды будет не давать руту делать что-либо.
_________________
Slackware 13.37 - Asterisk 1.8
#10
если уж цитируете (и так подробно) то пожалучайста включайте и те цитаты откуда пошел спор, иначе теряется весь смысл
anest писал(а):
я не знаю кто может быть круче рута чтобы приказывать ему что делать.

из вашего же ответа получается что "круче рута только сам рут". но к чему тогда этот спор?
Цитата:
или это спор ради самого спора?

ps: 1й: яблоко - круглое! 2й: а вот и нифига! оно - зелёное!!
Mad
#11
что то мне кажется не в ту степь все пошло. Задача стоит как ограничить доступ в интернет?
Самый простой способ это через фарвол iptables, как сказали уже Cache и FeyFre

зачем акцентировать внимание на том что он запущен под root? да это не хорошо но все же не смертельно.
или предпологается что это приложение поправит политики фарвола?
#12
Спор ради спора?
Не понимаю зачем так упорно акцентировать на том что и так понятно.

Added after 9 minutes:

Я бы дал конкретный совет если бы задача была бы описана более детально, я это писал еще в самом верху.
#13
Может правилнее для этой цели использовать не iptables а Selinux/AppArmor?
Если через правила Selinux запретить приложению выход в сеть никакой root не поможет
#14
igorsia писал(а):
..цели использовать не iptables а Selinux/AppArmor?


что я предложил выше Smile
_________________
нанотехнолигии в области Asterisk
#15
Вообщем суть задачи такова:

Есть QueueMetrix установленный с yum install, ему нужно запретить выход в инет (т.е. проверку лицензии)
Можно пример как это сделать в SElinux, и чтоб он не банил другие приложения.

Спасибо
#16
Дык проще простого - выясните куда именно он ломится и пропишите этот адрес в /etc/hosts как 127.0.0.1
Делов то...
#17
Да, вариант, пасиб
Но как выяснить куда ломится? )
#18
Вариантов море, начиная от снятия дампа и просмотра в какойнить проге до запуска исследуемой проги в вмваре под виндой ( там много шире набор сетевых тулзов) включайте фантазию и пробуйте.
Пс: для ответа пожалуйста нажимайте кнопку Ответить, цитировать меня целиком нет никакой необходимости, тем более отвечая следом на мой же пост.
#19
любой packet sniffer поможет, под любую ось их просто пруд пруди сколько есть.