Limitazione dell'accesso all'account basato su NIC utilizzata per connettersi su Linux

Naviga le tue risposte
0

Ho un server che ha più NIC (ignorando coppie ridondanti):

  • 'inward' rivolto verso la produzione (si collega ad altri server);
  • produzione esterna rivolta verso l'esterno (connessione a Internet tramite DMZ),
  • produzione esterna "esterna" (si collega agli utenti interni inclusi gli amministratori delle applicazioni); e
  • NIC di gestione che si collega alla rete di gestione.

La mia domanda è quindi, posso limitare l'accesso all'account basato sulla NIC attraverso la quale l'utente si è connesso: ad esempio:

  • puoi accedere solo all'account root o ad alcuni account sudoer se ti sei connesso tramite la NIC di gestione;
  • è possibile accedere agli account admin dell'applicazione solo se si è connessi tramite la scheda NIC interna?
posta Hiding From The Jackasses 20.08.2014 - 11:08
fonte

1 risposta

2

Non esiste un modo valido per limitare gli account basati sull'interfaccia di rete in Linux (nel momento in cui un pacchetto raggiunge un livello che comprende il concetto di "account", si dimentica su quale interfaccia è entrato). Tuttavia, esistono due semplici modi per limitare l'accesso a una applicazione in base all'interfaccia utilizzata:

  1. A livello di sistema operativo, il firewall iptables ha opzioni che è possibile utilizzare. L'opzione -i a iptables ti consente di filtrare i pacchetti in base all'interfaccia in cui sono entrati. Combinalo con l'opzione --dport , e puoi rilasciare selettivamente o accettare pacchetti vincolati per un determinato programma, in base all'interfaccia su cui è arrivato il pacchetto.

  2. A livello di applicazione, la maggior parte dei programmi server ti consente di limitare quali indirizzi IP ascolteranno. Ad esempio, potresti avere un server SSH in ascolto sull'indirizzo che appartiene all'interfaccia "di gestione" e un server web in ascolto sull'indirizzo esterno.

A volte puoi combinare il precedente con le opzioni a livello di applicazione per ottenere il filtro per account che desideri. Ad esempio, potresti avere un'istanza di sshd in ascolto sull'interfaccia "di gestione" e consentire gli accessi all'amministratore e una seconda istanza in ascolto sull'interfaccia "esterna" e consentire solo accessi dagli utenti ordinari.

    
risposta data 20.08.2014 - 11:26
fonte

Leggi altre domande sui tag

Che cosa farebbe un server per inviare solo oltre 1 certificato SSL a un client? [chiuso] PHP FILTER_VALIDATE_IP è sufficientemente sicuro per $ _GET un indirizzo IP?