linux: mandrake 9.0

ich möchte für jeden user welches sich anmeldet eine bestimmt firewall einstellung haben.
die frage ich wie mache ich das, da ich noch neu auf dem linux-markt bin, bräuchte ich schon detalierte angaben.

ich möchte folgendes machen:
user X: normaler benützer, darf surfen, emails lesen, usw...
user Y: darf nur mldonkey benützen, sprich alles andere ist gesperrt, was nach aussen geht.

hi,

ich würde es so machen, dass bestimmte programme einfach nur von bestimmten usern ausgeführt werden dürfen.

also erstellst du z.b. eine gruppe emailuser und fügst dort alle user, die das programm nutzen dürfen dort ein. die rechte des programmes schränkst du nun ein, damit halt nur besagte gruppe es ausführen darf.
den weg über verschiedene firewalls würde ich gar nicht gehen und sinnvoll erscheint sie mir auch nicht. dann müsste ja bei jedem einloggen die firewall überschrieben und neu gestartet werden. was machst du nun wenn sicher einer grafisch und einer über die konsole einloggt?!? dann müsstest du noch entscheiden wer die "höhreren" rechte hat und das entsprechende firewallscript kopieren. würde alles zu komplex werden.

also mein rat:
einfach ein paar gruppen erstellen, die passenden user dort einfügen und die ausführrechte der programme einschränken bzw. ändern.

hoffe das ist eine lösung für dich.

Eremit

das mit gruppen klingt interessant, werds mal ausprobieren, aber es geht mir hauptsächlich um die firewall direkt.

alle user arbeiten im KDE und loggen sich auch dort ein.
sprich ich muss bei jedem login, ein script ausführen welches die firewalleinstellungen ändert und neu startet, aber ich weiss nicht wie, das ist mein problem.

hmm. ok.

nächste möglichkeit wäre eine abfrage in das firewallscript einzubauen. wenn jeder user, der sich in kde einloggt eine verbindung ins internet aufbaut ist das recht leicht zu realisieren.

if $USER="username"
....... firewallanweisung
fi

oder so ähnlich. syntax ist jetzt wohl nicht korrekt aber du solltest dich dann mal an www.mrunix.de wenden. das forum wäre wohl dafür besser.

Eremit

Den endgültigen Script kann bzw. will ich dir nicht liefern, doch in Bezug auf das einloggen und den Script startet kann ich dir helfen.
Jeder Benuter hat ein File ".bash_profile" in seinem Ordner. Dieses File wird beim Einloggen ausgeführt, d.h. du kannst dort deinen Script schreiben. Das File ".bash_logout" wird beim ausloggen ausgeführt, also kannst du dort deine Regeln wieder löschen.

Was ich mich frage, ist was passiert wenn sich 2 User einloggen. Dann gelten nur die Regeln des zuletzt eingeloggten User. Das heisst die Lösung ist nicht sehr effektiv.

@Discipulus
das mit den verschiedenen nutzern meine ich auch. sehr elegant ist die lösung nicht. wie oft macht man mal ein kleines "su username" und schon ist die firewall überschrieben........

@Eremit:
danke für den hinweis, werde mal schauen was sich machen lässt.

@Discipulus:
sehr gut, die infos habe ich gebraucht, wäre eh meine nächste frage gewesen.
dort arbeite nur ich am rechner, sprich es wird nur einen angemeldeten user geben.

hm ... nein. Sehr elegant ist meine Lösung nicht. Aber es ist ein Anfang und mir ist nichts besseres eingefallen :)
Man könnte den Script natürlich erweitern, so dass er nur ausgeführt wird, wenn noch keine Regeln aktiv sind!

das coden des scripts dürfte keine allzugrossen probleme machen, habe ja genug programmiererfahrung. :)

aber ich finde die idee trotzdem nicht schlecht, mal sehen ob ich die verwirklichen kann. :)

Original geschrieben von deepgreen
linux: mandrake 9.0

ich möchte für jeden user welches sich anmeldet eine bestimmt firewall einstellung haben.
die frage ich wie mache ich das, da ich noch neu auf dem linux-markt bin, bräuchte ich schon detalierte angaben.

ich möchte folgendes machen:
user X: normaler benützer, darf surfen, emails lesen, usw...
user Y: darf nur mldonkey benützen, sprich alles andere ist gesperrt, was nach aussen geht.

markiere die pakete anhand der userid (mittels --uid-owner, --gid-owner und --mark) auf dem lokalen rechner. für die so markierten pakete erstellst du entsprechende regeln in deinem paketfilter (du verwendest einfach die marks anstelle irgendwelcher source-ips).

-j