Посоветуйте, как проще всего ограничить доступ к сети для одной программы?

0

1

Доброго времени суток

Сабж. По возможности - без виртуализации. Приоритеты: сначала надёжность, потом - простота для пользователя. Для запуска приложений, которым доверяю непубличную информацию. В частности - gnucash :)

Пока из вариантов

отдельный namespace
Переопределение некоторых сетевых функций через LD_PRELOAD
selinux ( но тут замучаешься правила проектировать ;) )

Первый вариант надёжен, но использовать его для пользовательских графических приложений не слишком удобно. Вдруг есть что-то лучше :)

Ссылка

←	Вставка листинга в документ

Подскажите дистрибутив, где нормально готовят кеды.

→

SELinux не так сложен как кажется. Для твоего случая - пара правил в режиме targeted

anonymous
(21.01.14 17:08:57 MSK)

Ответ на: комментарий от anonymous 21.01.14 17:08:57 MSK

Нифига себе пара правил - создать отдельный домен, разрешить ему всё кроме доступа в сеть и разрешить unconfined пользователям обращаться к этому домену

router ★★★★★
(21.01.14 17:14:04 MSK) автор топика

Ответ на: комментарий от router 21.01.14 17:14:04 MSK

и шо тут сложного? сам ответ написал, и сам его боишься

anonymous
(21.01.14 17:16:07 MSK)

Ответ на: комментарий от anonymous 21.01.14 17:16:07 MSK

Текущий вариант я назвал в первом пункте, а selinux для данного случая - онанизм

И вопрос заключался не в «напишите за меня», я и сам это могу сделать, а в «не появилось ли чего-нибудь нового, что лучше подойдёт для данной задачи». Про те же namespace я узнал пару лет назад.

router ★★★★★
(21.01.14 17:17:53 MSK) автор топика

Ссылка

Пускай его от отдельного пользователя, сеть режь обычным iptables.

tailgunner ★★★★★
(21.01.14 17:19:16 MSK)

Запускаем приложения в «песочнице» с помощью SELinux

anonymous
(21.01.14 17:27:05 MSK)

Ответ на: комментарий от tailgunner 21.01.14 17:19:16 MSK

Да, это вариант, останется только копировать xauthority файл

Но я уже сделал через namespace и оказалось, что конкретно gnucash жить не может без d-bus. Придётся и правда через selinux делать.

Через namespace так: ( Вдруг кому понадобится )

router@amalthea:~$ cat /opt/bin/without_net.sh 
#!/bin/bash

netns='scr';
cmd=$1;
user=$(whoami);

if [ -z "$cmd" ]; then
	echo "no command specified";
	exit 1;
fi

ip netns list | grep "$netns" >/dev/null 2>&1;

if [ $? -eq 0 ]; then
	# namespace already exists
	echo ok >/dev/null 2>&1
else
	sudo ip netns add "$netns"
	sudo ip netns exec "$netns" ip l set dev lo up
fi

sudo ip netns exec "$netns" sudo su - "$user" -c "$cmd"

Запуск:

router@amalthea:~$ /opt/bin/without_net.sh "ping ya.ru"
ping: unknown host ya.ru

router ★★★★★
(21.01.14 17:34:46 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 21.01.14 17:27:05 MSK

Спасибо

router ★★★★★
(21.01.14 17:35:20 MSK) автор топика

Ссылка

chown :nonet /bin/gnucash

chmod g+s /bin/gnucash

Правило iptables запрещающее группе nonet лазить в сеть напиши сам :-)

~~no-dashi~~ ★★★★★
(21.01.14 17:44:10 MSK)

Ссылка

запускай программу от определённого пользователя. Доступ ограничь iptables, критерием --uid.

emulek ★
(21.01.14 18:39:19 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вставка листинга в документ

General

Подскажите дистрибутив, где нормально готовят кеды.

→

Похожие темы