Puncte:0

nftables citesc contoarele ca utilizator non-root

drapel in

Am configurat câteva reguli de firewall folosind nftables. Acestea includ câteva contoare de date pentru anumite tipuri de trafic pe care sunt interesat să le monitorizez.

Acum, aș dori să pot avea o aplicație să citească acele contoare, în mod ideal folosind libnftnl, rulând ca utilizator non-root. Dar, testarea inițială cu nft indică faptul că nu pot citi contoarele nftables ca utilizator non-root.

Ca rădăcină:

$ nft list counter my_table my_counter
table ip my_table {
    counter my_counter {
        pachete 123 octeți 12345
    }
}

Ca non-root:

$ nft list counter my_table my_counter
Eroare: Nu există un astfel de fișier sau director
list counter my_table my_counter
             ^^^^^^^^^

Există vreo modalitate de a citi contoarele nftables ca utilizator non-root? Poate dacă unii capabilități Linux este setat?

Puncte:2
drapel in

Dacă doriți o configurație mai limitată. Poate folosiți sudo. Puteți seta o regulă care permite doar o singură comandă.

craig_mcqueen ALL = NOPASSWD: /usr/sbin/nft list counter my_table my_counter

drapel in
Mulțumiri. Nu funcționează pentru utilizarea `libnftnl`, dar permite un control mai precis al permisiunilor decât `CAP_NET_ADMIN`.
Puncte:0
drapel in

Se pare că este capabil să fie Linux CAP_NET_ADMIN permite citirea contorului.

De exemplu, porniți un shell pentru un utilizator non-root, cu CAP_NET_ADMIN:

capsh --caps="cap_net_admin+eip cap_setpcap,cap_setuid,cap_setgid+ep" --keep=1 --user=myuser --adddamb=cap_net_admin -- -c "sh"

Din coaja aceea, /usr/sbin/nft list counter my_table my_counter rulează cu succes.

Dar, permite și alte lucruri, cum ar fi modificarea regulilor firewall-ului, adăugarea de contoare noi sau ștergerea contoarelor existente.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.