Блоки AppArmor, регистрирующие набор через iptables для гостевой учетной записи - Как включить?
Для входа использования Интернета (посещаемые URL) моей локальной гостевой учетной записи я попросил, чтобы Монитор вопроса посетил веб-сайты гостевой учетной записи через любой браузер, и после присвоения гостя считают согласованный UID 499 и установку iptables правило ниже, я не вкладываю требуемые сообщения журнала /var/log/kern.log но сообщение apparmor то, что это заблокировало регистрирующуюся попытку.
Как я говорю AppArmor позволять гостевую учетную запись (случайное имя, но зафиксировал UID) зарегистрировать его использование сети через iptables?
iptables правило я настроил:
sudo iptables -A OUTPUT -m owner --uid-owner 499 -j LOG --log-prefix='[GUEST INTERNET ACCESS] '
Одна строка в качестве примера сообщений, которые появляются в /var/log/kern.log вместо этого (переформатированный для лучшей удобочитаемости):
Nov 18 11:19:22 wolf-pack kernel:
[ 1030.063374] audit: type=1400 audit(1447841962.731:164):
apparmor="DENIED"
operation="connect"
profile="/usr/lib/lightdm/lightdm-guest-session"
name="/run/systemd/journal/stdout"
pid=4693
comm="dbus-daemon"
requested_mask="w"
denied_mask="w"
fsuid=499
ouid=0
Дальнейшая информация о системе:
$ uname -a
Linux wolf-pack 4.2.0-18-generic #22-Ubuntu SMP Fri Nov 6 18:25:50 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description: Ubuntu 15.10
Release: 15.10
Codename: wily
$ unity --version
unity 7.3.2
$ apt-cache policy apparmor | grep Installed
Installed: 2.10-0ubuntu6
$ iptables --version
iptables v1.4.21
Вывод sudo apparmor_status:
apparmor module is loaded.
23 profiles are loaded.
23 profiles are in enforce mode.
/sbin/dhclient
/usr/bin/evince
/usr/bin/evince-previewer
/usr/bin/evince-previewer//sanitized_helper
/usr/bin/evince-thumbnailer
/usr/bin/evince-thumbnailer//sanitized_helper
/usr/bin/evince//sanitized_helper
/usr/lib/NetworkManager/nm-dhcp-client.action
/usr/lib/NetworkManager/nm-dhcp-helper
/usr/lib/connman/scripts/dhclient-script
/usr/lib/cups/backend/cups-pdf
/usr/lib/lightdm/lightdm-guest-session
/usr/lib/lightdm/lightdm-guest-session//chromium
/usr/lib/telepathy/mission-control-5
/usr/lib/telepathy/telepathy-*
/usr/lib/telepathy/telepathy-*//pxgsettings
/usr/lib/telepathy/telepathy-*//sanitized_helper
/usr/lib/telepathy/telepathy-ofono
/usr/sbin/cups-browsed
/usr/sbin/cupsd
/usr/sbin/cupsd//third_party
/usr/sbin/ippusbxd
/usr/sbin/tcpdump
0 profiles are in complain mode.
6 processes have profiles defined.
6 processes are in enforce mode.
/sbin/dhclient (1138)
/usr/lib/telepathy/mission-control-5 (4700)
/usr/sbin/cups-browsed (777)
/usr/sbin/cupsd (5626)
/usr/sbin/cupsd (5651)
/usr/sbin/cupsd (5652)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
1 ответ
Я думаю, что Ваше намерение ясно здесь, и в другом вопросе Вы связались с: зарегистрируйте URL веб-сайтов, посещенных любым использующим любое приложение в качестве гостевого пользователя.
Предложение iptables регистрирующийся для достижения этой задачи не корректно. iptables (без некоторых неясных, ограничивающих производительность расширений) работает над протоколом IP, не над прикладным уровнем.
я также видел предложения в URL, предложенных в качестве комментариев - респонденты, предложенные, только получая пакеты с флагами SYN (новые соединения). Это также, следует из недоразумения, описанного выше.
способ достигнуть, что Вы хотите:
- Установка веб-прокси (предпочтительно легкий вес, такой как tinyproxy).
- Добавляют, что iptables постановляет что исходящие связи перенаправления, установленные только определенным пользователем с портами, 80,443/tcp к локальному прокси.
то, Что я имел в виду, описано здесь (не мое сообщение). Таким образом, Вы получаете веб-журнал прокси, который имеет все зарегистрированные Запросы HTTP. Вы не доберетесь, журналы, связанные с SSL, защитили трафик, хотя, который является хорошей вещью.
Для повторения: URL не являются частью IP или структуры заголовка TCP, таким образом что-то работающее над IP/уровнем TCP не будет способным показать Вам эти данные, если это не имеет некоторый диссектор TCP (tcpdump/wireshark, в состоянии сделать это, но не iptables один).