Limitar el acceso a la cuenta según la NIC utilizada para conectarse en Linux

Navega tus respuestas
0

Tengo un servidor que tiene varias NIC (ignorando pares redundantes):

  • producción interna "hacia adentro" (se conecta a otros servidores);
  • producción externa "externa" (se conecta a Internet a través de una DMZ),
  • producción interna "hacia afuera" (se conecta a usuarios internos, incluidos los administradores de aplicaciones); y
  • NIC de administración que se conecta a la red de administración.

Entonces, mi pregunta es, ¿puedo limitar el acceso a la cuenta según la NIC a través de la cual el usuario se conectó ?: por ejemplo:

  • solo puede acceder a la cuenta raíz o a algunas cuentas sudoer si se conectó a través de la NIC de administración;
  • ¿solo puede acceder a las cuentas de administrador de la aplicación si se conectó a través de la NIC interna?
pregunta Hiding From The Jackasses 20.08.2014 - 11:08
fuente

1 respuesta

2

No hay una buena manera de restringir las cuentas basadas en la interfaz de red en Linux (cuando el paquete llega a una capa que comprende el concepto de "cuenta", se olvida en qué interfaz entró). Sin embargo, hay dos formas fáciles de restringir el acceso a una aplicación en función de la interfaz que se utiliza:

  1. En el nivel de SO, el firewall iptables tiene opciones que puede usar. La opción -i a iptables le permite filtrar paquetes según la interfaz en la que entraron. Combine eso con la opción --dport , y puede soltar o aceptar paquetes con destino a un programa determinado, según la interfaz en la que se encuentre el paquete.

  2. En el nivel de la aplicación, la mayoría de los programas de servidor le permiten restringir en qué direcciones IP escucharán. Por ejemplo, puede tener un servidor SSH escuchando en la dirección que pertenece a la interfaz de "administración", y un servidor web escuchando en la dirección externa.

En ocasiones, puede combinar lo anterior con las opciones de nivel de aplicación para obtener el filtro por cuenta que desea. Por ejemplo, podría tener una instancia sshd escuchando en la interfaz de "administración" y permitiendo inicios de sesión del administrador, y una segunda instancia escuchando en la interfaz "externa" y permitiendo solo inicios de sesión de usuarios normales.

    
respondido por el Mark 20.08.2014 - 11:26
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las desventajas para el propietario del sitio de que los correos electrónicos de terceros se muestren públicamente? ¿Editar el motor de búsqueda de contraseña de Ettercap?