一般ユーザー(Sysctl、Sudo、/ proc)に対して「要求時に」ICMPを許可/拒否

一般ユーザー(Sysctl、Sudo、/ proc)に対して「要求時に」ICMPを許可/拒否

「リクエスト時に」ping(icmp echo)を許可/拒否できるアカウントをCentOS 7.8に設定したいと思います。

rootとしてログインすると非常にうまくいきます。たとえば、次のようになります。

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all >>> Ping on
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all >>> Ping off

ユーザーがいます」制限されたユーザー」、彼は組織のメンバーです。限定グループ

私が今まで試したこと:

  1. sysctl 最初の回避策 - このスレッドに基づいて使用:https://askubuntu.com/questions/692701/allowing-user-to-run-systemctl-systemd-services-without-password ファイルを作成しました。/etc/sudoers.d/limited

    %limitedgroup ALL=NOPASSWD: /sbin/sysctl sysctl -w net.ipv4.icmp_echo_ignore_all=1
    %limitedgroup ALL=NOPASSWD: /sbin/sysctl sysctl -w net.ipv4.icmp_echo_ignore_all=0
    

    残念ながら、制限されたユーザーとしてログインしても、パスワードの入力を求められます。

    sudo sysctl -w net.ipv4.icmp_echo_ignore_all=1
    [sudo] password for limiteduser:
    
  2. 2番目の回避策 - ファイルの使用/proc/sys/net/ipv4/icmp_echo_ignore_all

    /proc ファイルシステムの権限の変更は許可されていないようです。 AFAIKカーネルにハードコードされています。前任者:

     [root@centOS ~]# setfacl -m u:limited:rwx /proc/sys/net/ipv4/icmp_echo_ignore_all
     setfacl: /proc/sys/net/ipv4/icmp_echo_ignore_all: Operation not supported
    

私もchown、chmodを試しましたが、チャンスはありません。

答え1

あなたのsudoersラインが2回ありますsysctl。この試み

%limitedgroup ALL=NOPASSWD: /sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=1
%limitedgroup ALL=NOPASSWD: /sbin/sysctl -w net.ipv4.icmp_echo_ignore_all=0

関連情報