LINUX.ORG.RU

История изменений

Исправление Deleted, (текущая версия) :

Не подскажу, как работает apparmor, так как не сталкивался, но не буду орать «ненужно», как некоторые участники. Задача интересная. Я думаю, сначала нужно разобраться, как ограничить список разрешенных exec() для конкретного бинарника. Затем эту политику можно расширить на всего пользователя, чтобы усилить защиту.

В качестве GUI идет KDE на нем реализован функционал по типу kiosk-а но этого недостаточно и нужен именно «whitelist» приложений.

Почему именно не достаточно?

Которая запускает разные скрипты в процессе работы на Bash, pyton.

Потенциальная проблема в этом. Пользователь имеет возможность через интерфейс приложения указать на произвольный файл для запуска в баше или питоне?

Исправление Deleted, :

Не подскажу, как работает apparmor, так как не сталкивался, но не буду орать «ненужно», как некоторые участники. Задача интересная. Я думаю, сначала нужно разобраться, как ограничить список разрешенных exec() для конкретного бинарника. Затем эту политику можно расширить на всего пользователя, чтобы усилить защиту.

В качестве GUI идет KDE на нем реализован функционал по типу kiosk-а но этого недостаточно и нужен именно «whitelist» приложений.

Почему именно не достаточно?

Которая запускает разные скрипты в процессе работы на Bash, pyton.

Потенциальная проблема в этом. Пользователь имеет возможность через интерфейс указать на произвольный файл для запуска в баше или питоне?

Исходная версия Deleted, :

Не подскажу, как работает apparmor, так как не сталкивался, но не буду орать «ненужно», как некоторые участники. задача интересная. Я думаю, сначала нужно разобраться, как ограничить список разрешенных exec() для конкретного бинарника. Затем эту политику можно расширить на всего пользователя, чтобы усилить защиту.

В качестве GUI идет KDE на нем реализован функционал по типу kiosk-а но этого недостаточно и нужен именно «whitelist» приложений.

Почему именно не достаточно?

Которая запускает разные скрипты в процессе работы на Bash, pyton.

Потенциальная проблема в этом. Пользователь имеет возможность через интерфейс указать на произвольный файл для запуска в баше или питоне?