eth2 Up/Down pomocí webového rozhraní

Potřebuji občas dynamicky zakazovat přístup na internet pro eth2 (PC učebna ve škole). Pro mě je nejjednodušší vytáhnout kabel ze síťovky, ale server je v zamčeném racku a velký problém je naučit některé učitelky vytáhnout ten správný kabel ... A nechávat na konzoli bežet přihlášeného roota aby mohli shodit a nahodit rozhraní se mi moc nechce.

Další možnost webové rozhraní s tlačítky On/Off + script, který podle potřeby přehazuje konfiguraci firewallu. Jde to vyřešit aniž by Apache musel běžet s právy roota?

Nebo je ještě jiné řešení? Celé to běhá na Slackware s 2.4 jádrem

Odpovědi

V podobné situaci využívám příkaz sudo ze stejnojmenného balíčku. Umožnuje mi pro daného uživatele nadefinovat, že může nahodit a shodit rozhrani eth0. Pomocí příkazu visudo jako root zadám do konfiguračního souboru jmeno uživatele a 2 přesné příkazy (i s parametry), které s právy root může zadat. Pro shození eth0 pak uživatel třeba zadá sudo ifconfig eth0 down. Příkazy je možno připravit do skriptu a připravit klikátka na plochu.

27.4.2006 13:00 Libor Petr
Rozbalit Rozbalit vše Re: eth2 Up/Down pomocí webového rozhraní

Díky za radu, koukal jsem na Sudo a je to řešení i na jiné problémy, nad kterými právě uvažuji. Ale mezitím jsem přišel i na jiné řešení. Webové rozhraní vytvoří pouze pomocný soubor a v cronu běží script, který testuje ne-/existenci souboru. Pokud pomocný soubor v daném adresáři existuje, zakáže se komunikace ven do intenetu, pokud pomocný soubor neexistuje, internet je povolen. Vzhledem k tomu, že Appache nic nevykonává, může běžet s minimálními právy a zatím se mi to jeví jako bezpečné řešení.

27.4.2006 13:38 opicak
Rozbalit Rozbalit vše Re: eth2 Up/Down pomocí webového rozhraní

nevyhodou tohoto řešení je, že nefunguje okamžitě. Vždy bude trvat nějakou dobu (záleží na intervalu v cronu) než to zabere. Zde se pak bude muset hledat kompromis mezi reakcí a častým testováním.

Mám jiný nápad. Co to spáchat pomocí sudo jako je napsáno výše, ale na onu stránku s tímto exec voláním budou mít přístup jen učitelské počítače, konkrétně ten co potřebujete. To se dá zařídit snadno přes Apache. Co na to říkáš?

27.4.2006 16:38 Libor Petr
Rozbalit Rozbalit vše Re: eth2 Up/Down pomocí webového rozhraní

Taky by to šlo, ale jednak není v učebně počítač, který by byl jenom učitelský a nikdy by u něj neseděl žádný žák (kapacitní problémy) a už vidím, jak si učitelé vymýšlí a co povolit ještě přístup z jedné sborovny, pak z druhé sborovny, od ředitelky, od zástupce....

Testování 2x za minutu je časově dostačující a server to nestrhá.

27.4.2006 17:14 opicak
Rozbalit Rozbalit vše Re: eth2 Up/Down pomocí webového rozhraní

no já chtěl jen pomoct

HTTP autentizace je resenim...

27.4.2006 20:34 Tomáš | skóre: 25 | Ústí nad Labem
Rozbalit Rozbalit vše Re: eth2 Up/Down pomocí webového rozhraní

Myslím, že jste kapku mimo - problémem není autentizace, ale co nejsystémovější řešení (mimochodem, taky se přikláním za sudo (napsal bych si třeba dva skripty start a stop) - i když, řekl bych že účelem je odpojit studenty od Internetu a to bych spíš řešil firewallem).

Mimochodem, HTTP autentizace se mi z bezpečnostních mechanizmů jeví jako nevhodná, problém je např. odhlašování (ale zas to moc nesleduju).

Dotaz: eth2 Up/Down pomocí webového rozhraní

Odpovědi