18 ответов в этой теме

[Dane]

Доброго времени форумчане.

 

нужна помощь ваша, особенно linuxсоидов.

 

Собрался пересаживать семью с винды на линь, а именно на убунту. Все бы хорошо, но есть пару вопросов.

 

1) Есть 1 компьютер под Убунтой. Есть моя рутовская учетка и создаю простую учетку. Как с помощью iptables ограничить простого пользователя доступ к определенному сайту, но в тоже время ,что бы мне как root  позволялось выйти?

 

2) Есть на компе диск, отформатированый под винду. Автоматом в лине он не цепляется, при открытии, т.е при монтировании он просит пароль рута. Как простому пользователю разрешить монтировать такой диск? давать пароль рута не  выход.

 

3) и Самый больной воспрос, над которым давно ломаю голову.   В лине автоматом не подымается сеть, приходится ее постоянно запускать командой

 

sudo ethtool -s eth0  duplex full speed 100 autoneg on

 

 как сделать, чтобы не приходилось ее так запускать и чтобы она автоматом подмылась я так  и не нашел.   Но если под простым пользователем заходить и пытаться запускать эту команду - снова просит пароль рута, как быть?

[bystander]

автоматом не подымается сеть

update-rc.d networking defaults   ?

[Dane]

 

автоматом не подымается сеть

update-rc.d networking defaults   ?

 

сделал, понаблюдаю

[bystander]

сделал, понаблюдаю

Чего там наблюдать, после перезагрузки сразу будет видно, прокатило али нет.

ПС Ну ладно вы, за что вы так со своими близкими? 

[Dane]

 

сделал, понаблюдаю

Чего там наблюдать, после перезагрузки сразу будет видно, прокатило али нет.

ПС Ну ладно вы, за что вы так со своими близкими? 

 

ограничивать стоит, например ребенку смотреть порнуху или еще к каким сайтам. например к ютюбу. или к ок

[Afalin]

1) Есть 1 компьютер под Убунтой. Есть моя рутовская учетка и создаю простую учетку. Как с помощью iptables ограничить простого пользователя доступ к определенному сайту, но в тоже время ,что бы мне как root  позволялось выйти?

Никак, iptables совсем не для этого существует и про пользователей ничего не знает.

2) Есть на компе диск, отформатированый под винду. Автоматом в лине он не цепляется, при открытии, т.е при монтировании он просит пароль рута. Как простому пользователю разрешить монтировать такой диск? давать пароль рута не  выход.

Не знаю, как в этих ваших бубунтах, но если раздел такой записан в fstab, то либо монтировать его автоматом (без опции noauto), либо позволить монтировать юзерам (с опцией user). Первое имхо удобнее. Если нет его в fstab – взять и настроить его там. Как это будет работать с мышкотыкательным монтированием – не знаю, оно тут не нужно. =)

[Aleksandra]

1) Есть 1 компьютер под Убунтой. Есть моя рутовская учетка и создаю простую учетку. Как с помощью iptables ограничить простого пользователя доступ к определенному сайту, но в тоже время ,что бы мне как root  позволялось выйти?

Можно завернуть весь http трафик через прокси (например, squid) и скормить ему список порносайтов. В браузере настроить работу через прокси.

А можно поставить Доктор Веп для линукс. Он вроде должен уметь блокировать порно.

[SergSG]

Можно завернуть весь http трафик через прокси (например, squid) и скормить ему список порносайтов.

Aleksandra, списком не поделитесть?

[Aleksandra]

Не знаю, как в этих ваших бубунтах

если раздел такой записан в fstab, то либо монтировать его автоматом (без опции noauto)

Самый нормальный вариант для тс.

[Aleksandra]

Aleksandra, списком не поделитесть?

Вам для блокировки или поэкспериментировать?

[Dmitry_rus]

А прописать в настройках какой-нибудь бесплатный "семейный" DNS - не, не вариант?

[bystander]

списком не поделитесть?

Сергей их валом навалом. С миллионами записей на любой вкус. Беда в том что 70% записей стареют и вновь появляются быстрей, чем эти списки клипают. Ну и второй момент, ворочать эти списки ресурсоемкое занятие для железа, особенно если записей миллионы. Ну и следить за этим делом нужно, неустанно набивая коробочку, на половину уже мертвым мусором...

ПС Я вообще не понимаю, чего ТС ерундой занимается, нет никакой разницы между windows и linux по обозначенным выше проблемам, единственное что за windows версию безопасности, надо платить, на linux:

 

3) и Самый больной воспрос, над которым давно ломаю голову.

Что лучше пойди разбери.

Сообщение было изменено bystander: 11 Июль 2016 - 20:40

[Anton Dobkin]

 

1) Есть 1 компьютер под Убунтой. Есть моя рутовская учетка и создаю простую учетку. Как с помощью iptables ограничить простого пользователя доступ к определенному сайту, но в тоже время ,что бы мне как root  позволялось выйти?

Никак, iptables совсем не для этого существует и про пользователей ничего не знает.

 

 

Есть модуль owner, вроде как раз для этого:  -m owner --uid-owner __USER__  --gid-owner __GROUP__

 

Что-то типа:

iptables -A OUTPUT -d www.facebook.com -m owner --uid-owner guest -j DROP 

[Aleksandra]

root@linux1:/home/aleksa# ping beeg.com
PING beeg.com (213.174.158.154) 56(84) bytes of data.
64 bytes from 213.174.158.154: icmp_seq=1 ttl=48 time=200 ms
64 bytes from 213.174.158.154: icmp_seq=2 ttl=48 time=203 ms
64 bytes from 213.174.158.154: icmp_seq=3 ttl=48 time=198 ms
^C
--- beeg.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 198.781/201.029/203.717/2.103 ms
root@linux1:/home/aleksa# iptables -A OUTPUT -d beeg.com -m owner --uid-owner root -j DROP
root@linux1:/home/aleksa# ping beeg.com
PING beeg.com (213.174.158.154) 56(84) bytes of data.
ping: sendmsg: Операция не позволена
ping: sendmsg: Операция не позволена
ping: sendmsg: Операция не позволена
^C
--- beeg.com ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

root@linux1:/home/aleksa# systemctl reload iptables
root@linux1:/home/aleksa# ping beeg.com
PING beeg.com (213.174.158.154) 56(84) bytes of data.
64 bytes from 213.174.158.154: icmp_seq=3 ttl=48 time=197 ms
64 bytes from 213.174.158.154: icmp_seq=4 ttl=48 time=197 ms
64 bytes from 213.174.158.154: icmp_seq=5 ttl=48 time=197 ms
^C
--- beeg.com ping statistics ---
5 packets transmitted, 3 received, 40% packet loss, time 4002ms
rtt min/avg/max/mdev = 197.393/197.634/197.969/0.437 ms

О_о Прям входит и выходит!

[Aleksandra]

Есть модуль owner, вроде как раз для этого:  -m owner --uid-owner __USER__  --gid-owner __GROUP__

А есть модуль time чтобы запрет действовал по времени, например -m time --timestart 7:00 --timestop 23:00

Т.е. после 23:00 смотреть порнуху можно. Пусть тс почувствует себя маленьким корольком в своем доме.

Осталось только логи парсить. Что и как будем делать? Если извращаться, то уже до конца.

[Anton Dobkin]

 

Есть модуль owner, вроде как раз для этого:  -m owner --uid-owner __USER__  --gid-owner __GROUP__

А есть модуль time чтобы запрет действовал по времени, например -m time --timestart 7:00 --timestop 23:00

Т.е. после 23:00 смотреть порнуху можно. Пусть тс почувствует себя маленьким корольком в своем доме.

Осталось только логи парсить. Что и как будем делать? Если извращаться, то уже до конца.

 

 

через -j LOG --log-prefix "Porno Dropped: " --log-level XX в лог файл а потом grep/sed/awk

 

Или  через модуль ulogd/ulogd2 сразу в базу данных 

[Afalin]

Есть модуль owner

Ок, уговорил. Дело за малым – найти актуальные списки адресов для этого. =)

[ksysha]

А прописать в настройках какой-нибудь бесплатный "семейный" DNS - не, не вариант?

Yandex DNS пока рулит, там три варианта, общий, семейный и детский, блокирует очень хорошо, в школе у ребенка пока все проверки выдержал.

[Aleksandra]

через -j LOG --log-prefix "Porno Dropped: " --log-level XX в лог файл

Поигралась... Логи получаются не маленькими, поэтому еще придется настраивать logrotate.
 

Дело за малым – найти актуальные списки адресов для этого. =)

Актуальными для Вас будут списки того, что смотрят ваши коллеги на работе. Какой смысл блокировать сайт сиськи-письки, если ваши коллеги ходят на попки?