Zamezení přístupu modulu Deaktivace obsahu k síti

Z důvodu minimalizace bezpečnostních rizik doporučujeme blokovat přístup k síti pro modul Deaktivace obsahu. Zabráníte tak potenciálním útokům na hostitele ve vaší organizaci v případě ohrožení modulu. Chcete-li blokovat přístup k síti, musíte použít standardní bránu firewall svého operačního systému.

V této části jsou uvedeny pokyny pro blokování přístupu k síti pomocí různých bran firewall.

Pokud nepoužíváte jinou bránu firewall, doporučujeme k blokování přístupu k síti používat nástroj nftables.

Pokud je na serveru nainstalována aplikace Kaspersky Endpoint Security for Linux 12.1 nebo 12.2, blokování přístupu je třeba nakonfigurovat pomocí nástroje nftables.

Blokování přístupu k síti pomocí nástroje nftables

Postup blokování přístupu k síti pomocí nástroje nftables:

  1. Nainstalujte balíček nftables, pokud není nainstalován.
  2. Nastavte, aby se služba nftables spouštěla automaticky při spouštění operačního systému, spuštěním následujícího příkazu:

    systemctl enable nftables.service

  3. Vytvořte novou tabulku spuštěním následujícího příkazu:

    nft add table netdev klsbuser-prohibit

  4. Seznam síťových rozhraní můžete získat jakýmkoli pohodlným způsobem, například spuštěním následujícího příkazu:

    ip link show

  5. Výsledný seznam rozhraní uložte pro budoucí použití.
  6. Pro jednotlivá síťová rozhraní ze získaného seznamu spusťte následující příkazy:

    nft create chain netdev klsbuser-prohibit "<název rozhraní>-egress" \{ type filter hook egress device "<název rozhraní>" priority raw \; \}

    nft add rule netdev klsbuser-prohibit "<název rozhraní>-egress" meta skuid klsbuser drop

    nft create chain netdev klsbuser-prohibit "<název rozhraní>-ingress" \{ type filter hook ingress device "<název rozhraní>" priority raw \; \}

    nft add rule netdev klsbuser-prohibit "<název rozhraní>-ingress" meta skuid klsbuser drop

  7. Spusťte následující příkaz:

    nft list table netdev klsbuser-prohibit

  8. Přidejte výstup příkazu z předchozího kroku do konfiguračního souboru nftables.conf.

    Umístění konfiguračního souboru nftables.conf se může lišit v závislosti na distribuci, například: /etc/sysconfig/nftables.conf nebo /etc/nftables.conf.

Chcete-li odblokovat přístup k síti pomocí nástroje nftables, spusťte jako uživatel root následující příkaz:

nft delete table netdev klsbuser-prohibit

Blokování přístupu k síti pomocí nástroje iptables

Postup blokování přístupu k síti pomocí nástroje iptables:

  1. Spusťte následující příkazy jako uživatel root:

    iptables -I OUTPUT -m owner --uid-owner klsbuser -j REJECT

    ip6tables -I OUTPUT -m owner --uid-owner klsbuser -j REJECT

  2. Nakonfigurujte trvalost rootu:
    • V systému Ubuntu nebo Debian spusťte následující příkazy:
      1. Nainstalujte balíček iptables-persistent.
      2. Spusťte následující příkazy:

        iptables-save > /etc/iptables/rules.v4

        ip6tables-save > /etc/iptables/rules.v6

    • V systému Rocky Linux, Red Hat Enterprise Linux nebo RED OS spusťte následující příkazy:
      1. Nainstalujte balíček iptables-services.
      2. Spusťte následující příkazy:

        systemctl enable iptables && systemctl start iptables

        iptables-save >/etc/sysconfig/iptables

        ip6tables-save >/etc/sysconfig/i6ptables

    Příkaz iptables-save uloží pouze pravidla, která jsou aktivní během provádění příkazu. Pokud existují trvalá pravidla, která nejsou během provádění příkazu aktivní, musíte ručně upravit konfigurační soubory.

Postup odblokování přístupu k síti pomocí nástroje iptables:

  1. Spusťte následující příkazy jako uživatel root:

    iptables -D OUTPUT -m owner --uid-owner klsbuser -j REJECT

    ip6tables -D OUTPUT -m owner --uid-owner klsbuser -j REJECT

  2. Postupujte podle kroků popsaných v kroku 2 pokynů pro konfigurace trvalosti pravidla.

Blokování přístupu k síti pomocí brány firewalld

Chcete-li blokovat přístup k síti pomocí brány firewalld, spusťte jako uživatel root následující příkaz:

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT <priorita> -m owner --uid-owner klsbuser -j REJECT

firewall-cmd --permanent --direct --add-rule ipv6 filter OUTPUT <priorita> -m owner --uid-owner klsbuser -j REJECT

Zde <priorita> je priorita, která je nižší než nejnižší priorita ze všech přímých priorit pravidel.

Chcete-li odblokovat přístup k síti pomocí brány firewalld, spusťte následující příkazy:

firewall-cmd --permanent --direct --remove-rule ipv4 filter OUTPUT <priorita> -m owner --uid-owner klsbuser -j REJECT

firewall-cmd --permanent --direct --remove-rule ipv6 filter OUTPUT <priorita> -m owner --uid-owner klsbuser -j REJECT

Blokování přístupu k síti pomocí nástroje ufw

Postup blokování přístupu k síti pomocí nástroje ufw:

  1. Do konfiguračního souboru /etc/ufw/before.rules přidejte následující řádek:

    -I ufw-before-output -m owner --uid-owner klsbuser -j REJECT

  2. Do konfiguračního souboru /etc/ufw/before6.rules přidejte následující řádek:

    -I ufw6-before-output -m owner --uid-owner klsbuser -j REJECT

Postup odblokování přístupu k síti pomocí nástroje ufw:

Odstraňte přidané řádky ze souborů /etc/ufw/before.rules a /etc/ufw/before6.rules.

Na začátek stránky