Доступ к iptables не для root

Yacudzer · 31 августа 2020, 15:50:32

Всем привет.
Как известно, управлять правилами iptables можно только из-под root.
Однако, есть сервис, который работает из соображений безопасности не из-под root и мне надо дать этому пользователю права на внесение изменений в iptables.
В идеале - лучше если создать группу и всех пользователей кто может управлять iptables добавлять в эту группу.
Кто-то может подсказать как лучше реализовать сию хотелку?

Whowka · 31 августа 2020, 19:15:25

В sudoers.d создать файл с правилами для группы, не?

Yacudzer · 01 сентября 2020, 12:53:30

Цитата: Whowka от 31 августа 2020, 19:15:25В sudoers.d создать файл с правилами для группы, не?

Как это будет выглядеть? Насколько я понимаю, надо будет команды выполнять через sudo, а это подразумевает ввод пароля... Скрипт же будет выполняться в автоматическом режиме из под демона. Ввод паролей тут не приемлем.
Еще идеи?

Whowka · 01 сентября 2020, 14:03:06

Цитата: Yacudzer от 01 сентября 2020, 12:53:30а это подразумевает ввод пароля...

NOPASSWD:/путь к запускаемому, под sudo, файлу/?

Yacudzer · 01 сентября 2020, 16:37:59

Цитата: Whowka от 01 сентября 2020, 14:03:06NOPASSWD:/путь к запускаемому, под sudo, файлу/?

Да, отлично. Думаю, это подойдет, спасибо.

А я хотел было с битами SUID помудрить - не вышло...

Yacudzer · 09 сентября 2020, 23:28:47

Whowka, немного не хорошо эта схема работает
OpenVPN работает под юзером openvpn, в passwd определен так:

Код Выделить

openvpn:x:1001:1001::/dev/null:/usr/sbin/nologin

Процесс openvpn запускает скрипт на python, который должен выполнить примерно следующее:

Код Выделить

sudo nft -aj list chain filter forward

Запускается так:

Код Выделить

req = ['sudo', 'nft', '-aj', 'list', 'chain', 'filter', 'forward']
result = subprocess.run(req
                                ,stdout = subprocess.PIPE
                                ,stderr = subprocess.PIPE
                                ,encoding = 'utf8')

Ну и в ответ получаю следующее:

Код Выделить


2020-09-09 23:10:33,596 - nftables_wrapper - DEBUG - json_data: '', err='We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

sudo: no tty present and no askpass program specified'

Куда копать?

Whowka · 10 сентября 2020, 02:40:38

Цитата: Yacudzer от 09 сентября 2020, 23:28:47no tty present and no askpass program specified'

У пользователя недостаточно прав на запуск. Копать man sudoers. (я не знаток, я любитель. У меня мой скрипт запускается через NOPASSWD без запроса пароля

)

Yacudzer · 10 сентября 2020, 09:18:20

Цитата: Whowka от 10 сентября 2020, 02:40:38У меня мой скрипт запускается через NOPASSWD без запроса пароля

Ну и у меня так же. Есть группа iptables, в нее включен пользователь openvpn (и я с именем yacudzer):

Код Выделить

iptables:x:1002:yacudzer,openvpn
Ну и в sudoers:

Код Выделить

#includedir /etc/sudoers.d
Соответственно, в /etc/sudoers.d/iptables:

Код Выделить

Cmnd_Alias      IPTABLES = /usr/sbin/iptables, /usr/sbin/iptables-save, /usr/sbin/iptables-restore
Cmnd_Alias      TEE = /usr/bin/tee
Cmnd_Alias      NFT = /usr/sbin/nft
%iptables       ALL=(ALL)NOPASSWD:IPTABLES,TEE,NFT

Причем, когда я из под себя (yacudzer) выполняю команду sudo nft бла-бла-бла, то все работает и никакого пароля не запрашивается. Значит, права есть. По крайней мере, мне выдаются. По логике вещей и для openvpn права такие же должны быть.

А другие способы есть запускать nft с правами root из-под openvpn?

Whowka · 10 сентября 2020, 09:39:56

а пользователю openvpn позволено sudo?

Yacudzer · 10 сентября 2020, 09:47:40

Цитата: Whowka от 10 сентября 2020, 09:39:56а пользователю openvpn позволено sudo?

Что значит позволено? В группе sudo его нет, а должен быть?

P.S. Только что проверил - удалил себя из группы sudo - доступ к nft и iptables остался. Все остальное denied...

Whowka · 10 сентября 2020, 10:14:53

Цитата: Yacudzer от 10 сентября 2020, 09:47:40В группе sudo его нет

ну, у меня в группе sudo никого нет. Я же говорю: тут в man sudoers лезть нужно.
Вот тута есть некоторые примеры на русском.
Мож в Runas_Alias чё прописать нужно, или в User_Alias...

Yacudzer · 10 сентября 2020, 14:10:29

Whowka, чет мне подсказывает, дело не в sudoers...
Я сейчас навесил на /usr/sbin/nft suid бит, поменял ему группу на openvpn и убрал права всем остальным пользователям. Получилось следующее:

Код Выделить

yacudzer@prd-ovpn-03:~$ ls -l /usr/sbin/nft
-rwsr-x--- 1 root iptables 18504 Dec  3  2018 /usr/sbin/nft

Когда я вызываю бинарник - он отрабатывает нормально.

Код Выделить

openvpn@prd-ovpn-03:/home/yacudzer$ whoami
openvpn
openvpn@prd-ovpn-03:/home/yacudzer$ /usr/sbin/nft -a list chain filter forward
table ip filter {
        chain forward { # handle 7
                type filter hook forward priority 0; policy accept;
                ct state established accept comment "Early allow established connections" # handle 11
                iif 3 jump OpenVPN comment "OpenVPN tunnel pid 427" # handle 13

Но, когда его вызывает openvpn, то фигня получается. Вылетает по exception. Причем, я внедрил выполнение whoami в скрипт. Вот лог выполнения:

Код Выделить

2020-09-10 11:44:30,849 - __main__ - DEBUG - whoami_stdout: openvpn
, whoami_stderr:
2020-09-10 11:44:30,849 - nftables_wrapper - DEBUG - Checking value 'pid 2212' in condition 'comment' for table 'filter' in chain 'forward'
2020-09-10 11:44:30,849 - nftables_wrapper - DEBUG - getNftJsonRules request: ['/usr/sbin/nft', '-aj', 'list', 'chain', 'filter', 'forward']
2020-09-10 11:44:30,850 - nftables_wrapper - DEBUG - getNftJsonRules exception: <class 'PermissionError'>: [Errno 13] Permission denied: '/usr/sbin/nft'

Т.е. с правами полная хрень даже когда я запускаю бинарник напрямую.

Whowka · 10 сентября 2020, 17:18:36

Цитата: Yacudzer от 10 сентября 2020, 14:10:29чет мне подсказывает, дело не в sudoers...

Возможно, но дальше я пас.

Мои познания python заканчиваются, пока что, на if-then-elif-else