명령을 사용하여 Debian 11의 사용자 그룹에 특정한 네트워크 액세스 제한을 구성하려고 합니다 iptables -A OUTPUT -m owner --gid-owner APIGROUP -j REJECT.
이것은 APIGROUP그룹입니다. 이 그룹에 있는 사용자는 OUTPUT체인에서 거부되어야 합니다. 그러나 포럼을 탐색했을 때 그룹이 사용자의 기본 그룹을 의미한다는 것을 읽었습니다.
사용자의 기본 그룹을 변경하는 것이 좋은 방법입니까? 해당 사용자의 권한에 영향을 미치나요?
iptables를 사용하여 원하는 것을 달성할 수 있는 방법이 있습니까?
인용하다:
답변1
해당 기능은 이미 존재합니다:--suppl-groups.
최신 Linux 커널에는 보조 그룹 일치를 허용하는 새로운 기능이 있습니다. OP의 질문 범주를 해결하기 위해 추가되었습니다.커널 5.32019년 중반에 이 기능은 Debian 11의 5.10.x 커널에서 사용할 수 있게 되었습니다.
웹 필터
[...]
xt_owner: 보조 그룹 옵션 추가범죄
iptables에 일치하는 업데이트가 존재합니다.1.8.4부터so는 Debian 11 버전 1.8.7에서 사용할 수 있습니다.
iptables 레거시:
- 소유자 일치에 --suppl-groups 옵션이 추가되었습니다.
~처럼녹음된매뉴얼에서:
--suppl-groups
--gid-owner프로세스의 보조 그룹 중에서 지정된 그룹도 검사하도록 합니다 .
구문은 다음과 같습니다(변경이 필요한 것 같습니다.--suppl-groups 뒤쪽에 --gid-owner APIGROUP):
iptables -A OUTPUT -m owner --gid-owner APIGROUP --suppl-groups -j REJECT
참고: 이는 드문 경우인 것 같습니다.iptables최근에 새로운 기능이 추가되었지만nftables받지 못함: 현재는 사용할 수 없는 것 같습니다.nftables. 왜냐하면 그것은확장 테이블기능적으로는 언제나 그렇듯 그대로 유지됩니다.사용 가능iptables-nft또한 iptables-legacy.