IPTables regels bekijken als non-root - Linux en overige clients

woensdag 5 juli 2006 13:01

Acties:

Topicstarter

Eigenlijk niet veel meer aan toe te voegen aan de topictitel:

pierre@pierre-srv:~$ /sbin/iptables --list
iptables v1.3.3: can't initialize iptables table `filter': Permission denied (you must be root)
Perhaps iptables or your kernel needs to be upgraded.
pierre@pierre-srv:~$

Ik zou ze graag willen inzien, omdat op een shellhosting account van mij op een IP adres wat ik daarop heb, als het goed is alleen ik toegang heb dmv van een regel die ik heb gegeven.
Voor de geintresseerden:

code:

1	iptables -I OUTPUT -m owner ! --uid-owner 1031 -s x.x.x.x -p tcp -j DROP

Ik zou graag willen zien of ze dat ook hebben ingesteld.. ik zou een 2e login nodig hebben immers om het te kunnen controleren. Netstat gebruik ik nu, maar dan zie je alleen of iemand actueel geen gebruik maakt van zo'n IP. Weet iemand of ik de regels kan listen of het op een andere manier kan controleren?

edit:
Oooh nee! Ik ben een tijdje niet hier geweest, maar staan er nou al google ads onder het topic? nog even en het is net zo erg als experts-exchange ofzo

[ Voor 10% gewijzigd door pierre-oord op 05-07-2006 13:02 ]

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 5 juli 2006 13:01

Acties:

Arnout

pierre, kijk eens naar sudo.

apt-get sudo.

en dan: visudo

edit: ok, de bak is niet van jouw, dan wordt het wat lastiger denk ik.

[ Voor 37% gewijzigd door Arnout op 05-07-2006 13:02 ]

woensdag 5 juli 2006 13:03

Acties:

pierre-oord

Topicstarter

Arnout schreef op woensdag 05 juli 2006 @ 13:01:
pierre, kijk eens naar sudo.

apt-get sudo.

en dan: visudo

Wil je'm nog eens lezen

ik heb geen root op de machine zelf (shellhosting). Om nou gelijk een rootkit te downloaden voor zoiets als dit vind ik wel weer beetje overdreven niet

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 5 juli 2006 13:47

Acties:

Wilke

Volgens mij is dit (als niet-root user toegang krijgen tot kernel datastructuren) niet in te stellen, zelfs als je hostingprovider daaraan zou willen meewerken.

Je zou wel kunnen vragen of je hostingprovider een setuid script wil installeren dat precies dit commando ingeeft? Dat zou wel moeten werken...

Zonder hun hulp kun je het iig zeker vergeten om aan deze informatie te komen.

[ Voor 12% gewijzigd door Wilke op 05-07-2006 13:48 ]

woensdag 5 juli 2006 16:46

Acties:

pierre-oord

Topicstarter

Wilke schreef op woensdag 05 juli 2006 @ 13:47:
Volgens mij is dit (als niet-root user toegang krijgen tot kernel datastructuren) niet in te stellen, zelfs als je hostingprovider daaraan zou willen meewerken.

Je zou wel kunnen vragen of je hostingprovider een setuid script wil installeren dat precies dit commando ingeeft? Dat zou wel moeten werken...

Zonder hun hulp kun je het iig zeker vergeten om aan deze informatie te komen.

Zitten zulke IPtables regel dan echt in het kernel geheugen? Da's wel jammer dan, ik zal een andere oplossing proberen te zoeken

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

woensdag 5 juli 2006 17:38

Acties:

blaataaps

pierre-oord schreef op woensdag 05 juli 2006 @ 16:46:
[...]

Zitten zulke IPtables regel dan echt in het kernel geheugen?

Waar had je dan verwacht dat ze zouden zitten?

Firewalling gebeurt op kernelniveau, allicht dat de regels dan ook in kernelspace zitten denk je niet

Da's wel jammer dan, ik zal een andere oplossing proberen te zoeken

Je kunt natuurlijk gewoon overwegen de beheerder van het systeem te vragen hoe hij dit gerealiseerd heeft, of op zoek gaan of hij de automatische configuratiebestanden van iptables ergens world-readable heeft staan.

woensdag 5 juli 2006 19:58

Acties:

Verwijderd

Doorgaans is /etc/rc.d/init.d/iptables o.i.d. voor iedereen leesbaar. Een beetje beheerder heeft die regel in zijn firewall opstartscript opgenomen i.v.m. reboot/stroomstoring. Heb je daar al naar gekeken?

woensdag 5 juli 2006 20:45

Acties:

BoAC

Memento mori

Verwijderd schreef op woensdag 05 juli 2006 @ 19:58:
Doorgaans is /etc/rc.d/init.d/iptables o.i.d. voor iedereen leesbaar. Een beetje beheerder heeft die regel in zijn firewall opstartscript opgenomen i.v.m. reboot/stroomstoring. Heb je daar al naar gekeken?

Maar de vraag is of de rules dan wel te lezen zijn of dat de rules dmv een user-script of runtime worden aangepast, dus dan is er nog niets zeker

donderdag 6 juli 2006 11:36

Acties:

Verwijderd

Voeg regels zoals hieronder toe aan je sudoers file:

Cmnd_Alias IPTABLES = /sbin/iptables -L, /sbin/iptables -nL, /sbin/iptables -L -t nat, /sbin/iptables -nL -t nat
jouwusername ALL=(ALL) NOPASSWD: IPTABLES

Hierna kun je de volgende commando's uitvoeren als root zonder password door er sudo voor te zetten:
- /sbin/iptables -L
- /sbin/iptables -nL
- /sbin/iptables -L -t nat
- /sbin/iptables -nL -t nat

edit:
Geen root betekent geen inzicht in de firewall rules, tenminste, als root z'n werk goed heeft gedaan

[ Voor 18% gewijzigd door Verwijderd op 06-07-2006 11:38 ]

vrijdag 7 juli 2006 09:08

Acties:

igmar

ISO20022

pierre-oord schreef op woensdag 05 juli 2006 @ 13:01:
Weet iemand of ik de regels kan listen of het op een andere manier kan controleren?

Euh, nee

De 'Permission denied' valt echt niet te omzeilen, je mag echt als gewone user geen raw sockets aanmake

zondag 9 juli 2006 17:38

Acties:

pierre-oord

Topicstarter

igmar schreef op vrijdag 07 juli 2006 @ 09:08:
[...]

Euh, nee De 'Permission denied' valt echt niet te omzeilen, je mag echt als gewone user geen raw sockets aanmake

Duidelijk

En iedereen ook bedankt met ideen zoals in de script kijken, maar ik wilde echt de huidige regels kunnen lezen

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)