Linux:允许限制用户的IP绑定权限

Linux:允许限制用户的IP绑定权限,第1张

概述我在RHEL(CentOS 6.3)上运行一台专用机器,运行多个IP地址.多个用户还可以在非超级用户帐户上访问该计算机.我想阻止他们绑定到某些地址. 我知道Linux可以限制非root用户的端口,就像目前对小于或等于1024的端口所做的那样.如果我想阻止访问特定的IP地址,如0.0.0.0,或者范围如127.0 .0.0 / 8,这样做是可能的,如果是这样,它会怎么做? 或者相反,我如何拒绝所有绑 我在RHEL(CentOS 6.3)上运行一台专用机器,运行多个IP地址.多个用户还可以在非超级用户帐户上访问该计算机.我想阻止他们绑定到某些地址.

我知道Linux可以限制非root用户的端口,就像目前对小于或等于1024的端口所做的那样.如果我想阻止访问特定的IP地址,如0.0.0.0,或者范围如127.0 .0.0 / 8,这样做是可能的,如果是这样,它会怎么做?

或者相反,我如何拒绝所有绑定到任何IP地址的访问权限,并授予用户对各个地址的访问权限?

解决方法 我不会详细介绍如何设置SElinux或如何创建SElinux策略. This可能是熟悉SElinux的良好起点.

要解决SElinux的问题,请尝试以下方法:

>将类型分配给您要限制的网络接口

# Assign a type to the whole interfacesemanage interface -a -t foo_netif_t eth2

>为通过接口的流量分配标签

netlabelctl unlbl add interface:eth2 address:0.0.0.0/0 label:system_u:object_r:foo_peer_t:s0netlabelctl unlbl add interface:eth2 address:::/0 label:system_u:object_r:foo_peer_t:s0

此示例将类型foo_peer_t分配给所有IPv4和IPv6流量.
>添加规则以允许数据包流

交通进入

allow user_t foo_netif_t:netif ingress;allow user_t foo_peer_t:node recvfrom;

交通离开

allow user_t foo_netif_t:netif egress;allow user_t foo_peer_t:node sendto;

将user_t替换为分配给您要限制的用户的类型.

参考文献:

> Labeling interfaces
> Ingress/Egress controls

总结

以上是内存溢出为你收集整理的Linux:允许/限制用户的IP绑定权限全部内容,希望文章能够帮你解决Linux:允许/限制用户的IP绑定权限所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/1039967.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-05-24
下一篇 2022-05-24

发表评论

登录后才能评论

评论列表(0条)

保存