Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Forcer un serveur DNS via NetworkManager

tom1855

Bonjour à tous,

J'ai un besoin un peu particulier et je n'arrive pas à trouver de solution.

Je souhaiterais verrouiller une liste de serveurs DNS pour les connexions réseaux de postes utilisant Ubuntu 20.04 desktop, et ce en utilisant un fichier texte. Ils seront utilisés par des utilisateurs sudoers ayant besoin de modifier l'adresse IP de leur carte réseau régulièrement et de paramétrer une adresse IP fixe ou dhcp. Par contre, ils n'auront pas besoin et ne devront pas modifier les serveurs DNS, et devront n'utiliser que ceux paramétrés.

Mon idée est de verrouiller un fichier de conf imposant une liste de serveurs DNS précise mais sans avoir à verrouiller le fichier de configuration de la connexion réseau. Quel que soit la conf DNS renseignée dans le fichier de la connexion, le fichier verrouillé avec la conf spécifique DNS doit prendre le dessus.

Je n'ai pas besoin d'ipv6 et ça peut être désactivé si besoin. Comme ils devront modifier leur ip régulièrement, je pense que passer par NetworkManager est la solution la plus pratique mais je n'arrive pas à trouver la solution. Il y a un répertoire /etc/NetworkManager/conf.d/ qui me semble être la solution mais je ne sais pas comment l'utiliser.

Si vous avez une idée, je suis preneur.

Merci d'avance pour votre aide.

Vobul

Peux-tu expliquer pourquoi des utilisateurs auraient besoin de paramétrer leur ip au lieu de laisser dhcp faire le job ?

As-tu accès au routeur qui fait le DHCP ?

Si les utilisateurs sont sudoers, ça me semble compliqué de limiter leurs actions.

Peut-être forcer l'utilisation d'un proxy cache pourrait être une solution. Sans passer par le proxy et donc le dns choisi => pas d'internet. Ça signifie également bloquer les requêtes dns sur le réseau. Mais avec DNS over HTTPS ça risque d'être compliqué....

tom1855

Bonjour et merci pour ta réponse.

Je vais expliquer le contexte. Nous sommes dans un service où nous allons dédier des ordinateurs portables à l'administration des serveurs et équipements réseaux. Chaque technicien aura deux ordi, un pour la bureautique et un pour l'administration technique. Ce deuxième ordinateur ne doit pas accéder à Internet ou à la messagerie électronique, etc.. C'est une recommandation de l'ANSSI.

Quand nous avons décidé d'appliquer cette mesure, le télétravail n'existait pas chez nous mais c'est devenu la norme depuis..

La volonté de paramétrer les DNS internes à l'entreprise a pour but que le technicien soit obligé de se connecter à notre vpn pour ses opérations de maintenance, et qu'il utilise une machine virtuelle qui elle accédera à Internet. Ils auront besoin régulièrement pour certains de se connecter à des réseaux ne disposant pas de serveur dhcp. C'est pour ça qu'ils doivent pouvoir configurer leur carte réseau.

Finalement, j'ai fini par trouver la solution pour forcer un DNS mais si l'utilisateur est sudoer, il pourra modifier la config.

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/configuring_and_managing_networking/manually-configuring-the-etc-resolv-conf-file_configuring-and-managing-networking

Il faut créer un fichier avec le paramètre dns = none dans les dossier de conf de NetworkManager et modifier le lien symbolique /etc/resolv.conf pour qu'il pointe vers un fichier configuré avec les serveurs dns voulus.

Je pensais bloquer les fichiers avec chattr +i pour rendre les tentatives de contournement plus complexes mais je ne peux appliquer cette commande sur plusieurs fichiers nécessaires à la configuration.

Vobul

Ne serait-il pas possible de configurer sudo pour permettre à ces utilisateurs de faire les mises-à-jour, mais pas grand chose d'autre ? Donc ne pas les mettre dans le groupe wheel mais dans un groupe qui a just accès à quelques commandes basiques. Mais ça risque de prendre du temps avant de se rendre compte de toutes les commandes dont ils ont besoin pour travailler.

Au final, n'est-il pas plus simple de faire confiance au technicien pour ne pas modifier cette config ?

tom1855

Il est possible de permettre à un utilisateur non sudoer de paramétrer ses connexions en le mettant dans le groupe netdev je crois.

La question de sudoer ou pas pour eux ne se limite à quelques commandes, mais plutôt au besoin d'installer les outils qui leur sont nécessaires et qui sont variés.

Il faut tenir compte aussi du danger de donner quelques commandes avec les droits sudo. Je te renvoie vers cette vidéo qui montre comment il est possible de devenir root très facilement.

https://www.youtube.com/watch?v=lZ4wAi-1Y08&t=4577s

Enfin pour la question de la confiance faite aux techniciens, j'aimerais que ce soit possible mais j'ai souvent eu la preuve que je ne peux pas. Les mesures de sécurité préconisées par l'ANSSI sont très efficaces mais aussi très contraignantes. C'est un vaste sujet.

Merci de ton aide.

Vobul

tom1855 a écritj'aimerais que ce soit possible mais j'ai souvent eu la preuve que je ne peux pas.

Ah ça on est d'accord. Si tu ne souhaites pas qu'un utilisateur fasse une action, il faut la rendre impossible à faire, car sinon il le fera ! 🙂