iptablesグループの一致:ユーザーのデフォルトグループを変更する

iptablesグループの一致:ユーザーのデフォルトグループを変更する

コマンドを使用して、Debian 11のユーザーグループに固有のネットワークアクセス制限を設定しようとしていますiptables -A OUTPUT -m owner --gid-owner APIGROUP -j REJECT

これはAPIGROUPグループです。このグループのユーザーはOUTPUTチェーンから拒否する必要があります。しかし、フォーラムを閲覧したときに、グループがユーザーのデフォルトグループを意味することを読んだ。

ユーザーのデフォルトグループを変更するのは良い方法ですか?そのユーザーの権限に影響しますか?

iptablesを使って欲しいものを達成する方法はありますか?

引用:

答え1

その機能はすでに存在しています:--suppl-groups

最新のLinuxカーネルには、セカンダリグループのマッチングを可能にする新機能があります。 OPの質問カテゴリを解決するために追加されました。カーネル 5.32019年半ばに、この機能はDebian 11の5.10.xカーネルで利用可能になりました。

  • Webフィルタ

    [...]
    xt_owner: 補助グループオプションの追加犯罪

iptablesに一致するアップデートが存在します。1.8.4からsoはDebian 11バージョン1.8.7で利用可能です。

iptables レガシー:

  • 所有者の一致に --suppl-groups オプションが追加されました。

〜のように録音されたマニュアルから:

--suppl-groups

--gid-ownerプロセスのセカンダリグループのうち、指定されたグループも確認するようにします。

構文は次のとおりです(変更が必要なようです。--suppl-groups 後ろに --gid-owner APIGROUP):

iptables -A OUTPUT -m owner --gid-owner APIGROUP --suppl-groups -j REJECT

注:これはまれな場合のようです。iptables最近新機能が追加されましたが、nftables受信できません:現在は利用できないようです。nftables。なぜなら拡張テーブル機能的にはいつものようにそのまま維持されます。利用可能iptables-nftまたiptables-legacy

関連情報