ASE_DAG
Gold Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mleo
> интересует возможность настройки фильтрации по приложениям
Такая вещь, как права на что-либо для отдельного бинарника, совершенно не вписывается в существующую дискретную систему разграничения прав, где единицами являются пользователь и группа.
Впрочем, разумеется, можно создать отдельного пользователя для каждого требующего внимания процесса — более того, именно так для серьезных вещей и делают. Откройте список пользователей, и даже на вашей домашней машинке вы найдете пользователей, от имени которых работают, например, вышепомянутый tor, avahi, miredo и иные. Для них вы можете без проблем создавать правила Нетфильтра при помощи iptables’ов — читайте в iptables(8) про модуль owner.
Если же вы хотите создавать правила для собственных (принадлежащих вашему пользователю) процессов, то вспоминаем, что помимо пользователей есть еще и группы. Например, в простейшем случае — для того, что запрещать доступ куда-либо вообще — создадим группу netfilter-drop; добавим в нее себя (иначе будет запрашивать пароль), и напишем такое правило:
# iptables -A OUTPUT -m owner --gid-owner netfilter-drop -j DROP
Теперь какой-нибудь Айсвизел, запущенный так:
$ sg netfilter-drop iceweasel
доступа в сеть иметь не будет. Сложность правил, разумеется, определяется только вашей фантазией.
Если же и всех этих возможностей вам мало — изучайте средства типа SELinux, с его помощью возможен более гибкий контроль; инструкций, правда, мало, бо мало кто этим пользуется — считают, видимо, что излишне.
Добавлено:
mleo
goletsa> зачем шифровать всю систему, достаточно /home
Параноикам может быть еще /var не помешает, а весь корень — действительно, зачем шифровать-то? Или вы какой-то варез установили и прячете?
|
Всего записей: 9272 | Зарегистр. 12-05-2005 | Отправлено: 21:35 09-02-2013 | Исправлено: ASE_DAG, 21:41 09-02-2013 |
|
