32reg Сообщения

32reg	# 5 лет, 11 месяцев назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	#!/bin/sh # # ~/.xinitrc # # Executed by startx (run your window manager from here) if [ -d /etc/X11/xinit/xinitrc.d ]; then for f in /etc/X11/xinit/xinitrc.d/*; do [ -x "$f" ] && . "$f" done unset f fi # exec gnome-session # exec startkde # exec startxfce4 # ...or the Window Manager of your choice exec startkde www.linux32.ru - новости и статьи о Linux

32reg	# 5 лет, 11 месяцев назад (отредактировано 5 лет, 11 месяцев назад)
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Тоже не стартует SDDM после обновления. Пишет про то что не запущен dbus (в маленьком белом окошечке на фоне черной консоли). Если перейти в другой терминал и вручную сначала остановить sddm, а потом запустить его снова, то на этот раз уже стартует. Придется настраивать автостарт иксов без дисплей менеджера... Нет, не в sddm дело. Напрямую через startx тоже только со второго раза загружается графика. www.linux32.ru - новости и статьи о Linux

32reg

# 5 лет, 11 месяцев назад (отредактировано 5 лет, 11 месяцев назад)

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Тоже не стартует SDDM после обновления. Пишет про то что не запущен dbus (в маленьком белом окошечке на фоне черной консоли).
Если перейти в другой терминал и вручную сначала остановить sddm, а потом запустить его снова, то на этот раз уже стартует.
Придется настраивать автостарт иксов без дисплей менеджера...

Нет, не в sddm дело. Напрямую через startx тоже только со второго раза загружается графика.

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Пробовал уже указывать -d вместо -s, все равно не открывается сайт. Уже чисто из интереса хочу заставить эту конструкцию работать. Но, похоже придется изучать сквид. Может быть дело в неуказывании мной портов и протоколов? Их нужно обязательно указывать? www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет назад

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Пробовал уже указывать -d вместо -s, все равно не открывается сайт. Уже чисто из интереса хочу заставить эту конструкцию работать. Но, похоже придется изучать сквид.
Может быть дело в неуказывании мной портов и протоколов? Их нужно обязательно указывать?

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Natrio, спасибо. Жаль что iptables.rules не понимает переменные... придется записывать каждый адрес вручную. Не получается пока настроить так чтобы все было заблокировано кроме одного какого-нибудь сайта (для примера). Если `OUTPUT DROP` и `-A OUTPUT -s 94.100.180.200 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT` то на сайт 94.100.180.200 (mail.ru) не заходит все-равно. Нужно помимо ip этого сайта разрешать вручную еще и ip DNS-сервера? Или нужно разрешать весь путь до требуемого сайта? Если так, то пути брать из traceroute? Тогда по traceroute вопрос: что делать с неответившими узлами (* в выводе) и какимим ключами указать traceroute чтобы он вывел все адреса на пути к сайту вместо звездочек? Вообще, применяется ли iptables в подобных ситуациях? И для ограничения доступа в сеть какому-либо одному пользователю нужно использовать другие инструменты? Какие тогда? www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет назад

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Natrio, спасибо.
Жаль что iptables.rules не понимает переменные... придется записывать каждый адрес вручную.
Не получается пока настроить так чтобы все было заблокировано кроме одного какого-нибудь сайта (для примера).
Если

OUTPUT DROP

-A OUTPUT -s 94.100.180.200 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

то на сайт 94.100.180.200 (mail.ru) не заходит все-равно.
Нужно помимо ip этого сайта разрешать вручную еще и ip DNS-сервера? Или нужно разрешать весь путь до требуемого сайта?
Если так, то пути брать из traceroute?
Тогда по traceroute вопрос: что делать с неответившими узлами (* в выводе) и какимим ключами указать traceroute чтобы он вывел все адреса на пути к сайту вместо звездочек?
Вообще, применяется ли iptables в подобных ситуациях? И для ограничения доступа в сеть какому-либо одному пользователю нужно использовать другие инструменты? Какие тогда?

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет назад (отредактировано 5 лет, 5 месяцев назад)
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Всем доброго дня. Задался вопросом настройки iptables для конкретного локального пользователя. Т. е. чтобы этот пользователь мог открывать только определенные сайты из белого списка и больше ничего, причем всех остальных пользователей системы это вообще никак не касалось. Такое возможно средствами iptables? Мои поиски привели меня к выводу что настроить iptables только для отдельного пользователя нельзя. Так ли это? Вот какой конфиг получился: # Сброс правил iptables iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -t raw -F iptables -t raw -X iptables -t security -F iptables -t security -X # Блокировать все входящие и транзитные пакеты iptables -P INPUT DROP iptables -P FORWARD DROP # Разрешить ICMP iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT # Разрешить loopback iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # Разрешить входящие соединения, запрошенные с локального компьютера iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT # Домены разрешенных сайтов (через пробел): WL="mail.ru yandex.ru google.com" # Для пользователя: user="guest" # Разрешить исходящие соединения на разрешенные сайты только указанному пользователю for i in $WL; do iptables -A OUTPUT -s $i -m !owner --uid-owner $user -j DROP done # Запретить указанному пользователю все кроме разрешенных сайтов iptables -A OUTPUT -m owner --uid-owner $user -j DROP # Разрешить все исходящие запросы iptables -P OUTPUT ACCEPT Этот конфиг работоспособен? Нужна ли последняя строка? Будут ли корректно отрабатывать правила при указании доменов вместо ip-адресов при использовании правил: `iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT` И можно ли все-таки настроить iptables чтобы указанному пользователю были запрещены все входящие соединения кроме ответных с разрешенных сайтов? При этом оставляя открытыми все входящие соединения остальным пользователям? www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет назад (отредактировано 5 лет, 5 месяцев назад)

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Всем доброго дня.
Задался вопросом настройки iptables для конкретного локального пользователя. Т. е. чтобы этот пользователь мог открывать только определенные сайты из белого списка и больше ничего, причем всех остальных пользователей системы это вообще никак не касалось. Такое возможно средствами iptables?
Мои поиски привели меня к выводу что настроить iptables только для отдельного пользователя нельзя. Так ли это?
Вот какой конфиг получился:

# Сброс правил iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -t raw -F
iptables -t raw -X
iptables -t security -F
iptables -t security -X

# Блокировать все входящие и транзитные пакеты

iptables -P INPUT DROP
iptables -P FORWARD DROP

# Разрешить ICMP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# Разрешить loopback

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Разрешить входящие соединения, запрошенные с локального компьютера

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

# Домены разрешенных сайтов (через пробел):

WL="mail.ru yandex.ru google.com"

# Для пользователя:

user="guest"

# Разрешить исходящие соединения на разрешенные сайты только указанному пользователю

for i in $WL; do
	iptables -A OUTPUT -s $i -m !owner --uid-owner $user -j DROP
done

# Запретить указанному пользователю все кроме разрешенных сайтов

iptables -A OUTPUT -m owner --uid-owner $user -j DROP

# Разрешить все исходящие запросы

iptables -P OUTPUT ACCEPT

Этот конфиг работоспособен?
Нужна ли последняя строка?
Будут ли корректно отрабатывать правила при указании доменов вместо ip-адресов при использовании правил:

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT

И можно ли все-таки настроить iptables чтобы указанному пользователю были запрещены все входящие соединения кроме ответных с разрешенных сайтов? При этом оставляя открытыми все входящие соединения остальным пользователям?

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет, 1 месяц назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	2 frankyboy, писатель www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет, 1 месяц назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Все решилось, спасибо за помощь. Дело было в правах, только я далеко причину искал. Оказалось что каким-то образом владельцем домашней папки пользователя стал рут. После `chown -R <user>:users /home/<user>` все заработало www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет, 1 месяц назад

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Все решилось, спасибо за помощь.
Дело было в правах, только я далеко причину искал. Оказалось что каким-то образом владельцем домашней папки пользователя стал рут. После

chown -R <user>:users /home/<user>

все заработало

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет, 1 месяц назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Всем спасибо за помощь. Попробовал chown для /usr - не помогло. Теперь еще и права исправлять у некоторых файлов... У меня кеды стоят. Не грузится sddm. Для проверки попробовал загрузиться через slim: графическое окно логина появляется, ввожу логин, потом пароль и снова сбрасывается окно слима на ввод логина. Пробовал логиниться под другим пользователем - тоже самое. Ни под каким пользователем в графику не могу залогиниться. В чем может быть дело? Что-нибудь связанное с pam или polkit? Или может глобальные переменные окружения какие-нибудь сбились и так влияют? www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет, 1 месяц назад

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Всем спасибо за помощь. Попробовал chown для /usr - не помогло. Теперь еще и права исправлять у некоторых файлов...
У меня кеды стоят. Не грузится sddm. Для проверки попробовал загрузиться через slim: графическое окно логина появляется, ввожу логин, потом пароль и снова сбрасывается окно слима на ввод логина.
Пробовал логиниться под другим пользователем - тоже самое.
Ни под каким пользователем в графику не могу залогиниться. В чем может быть дело?
Что-нибудь связанное с pam или polkit?
Или может глобальные переменные окружения какие-нибудь сбились и так влияют?

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет, 1 месяц назад (отредактировано 6 лет, 1 месяц назад)
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	Собственно вопрос в теме. Можно ли так делать или это чревато поломкой прав? Много ли в папке /usr специфичных прав, отличных от 755? Или chown на права никак не влияет? Нужно все это для восстановления работоспособности системы. После очередной попытки установить редкий софт (неудачной) не могу войти в систему под пользователем: иксы не грузятся, даже grep консольный какие-то ошибки выдает. Под рутом все работает. Подозреваю что уже сломаны права на что-то в /usr, но как определить? У пакмана есть какие-нибудь ключи чтобы при переустановке пакета он перезаписывал его права на дефолтные? www.linux32.ru - новости и статьи о Linux

32reg

# 6 лет, 1 месяц назад (отредактировано 6 лет, 1 месяц назад)

Темы: 29

Сообщения: 526

Участник с: 17 мая 2011

Собственно вопрос в теме. Можно ли так делать или это чревато поломкой прав? Много ли в папке /usr специфичных прав, отличных от 755? Или chown на права никак не влияет?
Нужно все это для восстановления работоспособности системы. После очередной попытки установить редкий софт (неудачной) не могу войти в систему под пользователем: иксы не грузятся, даже grep консольный какие-то ошибки выдает. Под рутом все работает. Подозреваю что уже сломаны права на что-то в /usr, но как определить?
У пакмана есть какие-нибудь ключи чтобы при переустановке пакета он перезаписывал его права на дефолтные?

www.linux32.ru - новости и статьи о Linux

32reg	# 6 лет, 5 месяцев назад
Темы: 29 Сообщения: 526 Участник с: 17 мая 2011	playonlinux - это обертка для wine позволяющая удобно устанавливать виндовые программы (можно для каждой проги делать свой префикс, выбирать битность и версию wine) www.linux32.ru - новости и статьи о Linux