Что нибудь в стиле AppArmor

Звучит так, будто стоит посмотреть в сторону PolicyKit. Подойдёт?

Спасибо, посмотрю.

Я наверно что-то не понимаю, но он вроде для повышения привилегий нужен, а мне понизить надо. Если не прав, ткните носом в строчку мана, пожалуйста.

> Я наверно что-то не понимаю, но он вроде для повышения привилегий нужен, а мне понизить надо. Если не прав, ткните носом в строчку мана, пожалуйста.

Пожалуйста, можно на «ты»? :(

Я не смотрел внутрь PolicyKit, но некоторые приложения (вроде libvirt) у меня отказывались работать без декларации локальных политик.

Не логичнее ли просто использовать NoScript и какой-нибудь Adblock Plus?

Логичней, Firefox привёл для примера, в основном. Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

> Логичней, Firefox привёл для примера, в основном. Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

Быть может, тогда стоит научиться SELinux или AppArmor? Если интересно в будущем получать красивые бумажки от линуксовых вендоров, эти навыки будут необходимы.

Как вариант, многие пользователи Windows подозрительный софт обкатывают на виртуальных машинах. Не вижу в этом ничего плохого.

Думаю стоит. А вот насчёт виртуалки внезапно пришла идея. Chroot?

Плюс, есть такая новомодная штука, как cgroups (официальный сайт пока лежит). Они ограничивают всякие системные ресурсы, но я здесь вообще ногой не ходил: быть может, имеются и какие-нибудь штуки для непосредственного разруливания полномочий процессов.

Спасибо, решил всё-таки освоить SELinux, а cgroups это же то, о чём я мечтал! Ведь, как я понял так можно выделить программе определённую часть процессора или памяти, и, когда всё будет тормозить она будет работать также?

> Спасибо, решил всё-таки освоить SELinux, а cgroups это же то, о чём я мечтал! Ведь, как я понял так можно выделить программе определённую часть процессора или памяти, и, когда всё будет тормозить она будет работать также?

Теоретически — да. Это весьма милая программная виртуализация.

Кстати, на основе cgroups ребята потихонечку пилят очень (как мне кажется) перспективную штуку по имени Linux Containers http://lxc.sourceforge.net/, хотя это несколько из другой оперы :)

Пилят, пилят, но никак не допилят.
Мой личный выбор schroot + ядро с grsecurity.

Каждый браузер, IM клиент, работают в своем окружении.
Для меня это наиболее наглядный способ их контролировать.

>>Что посоветуете?

в Fedora есть такая замечательная штука как sandbox для выполнения софта с минимумом привилегий, базируется на selinux.

TOMOYO linux. Второй tomoyo (который в ванильном ядре) может ограничивать в основном доступ к диску, первый (с патчами к ядру) — ещё и интернеты и много прочих вещей. Можно включить только для определённого приложения, в том числе и с путём запуска (например, ограничить огнелис, запущенный откуда угодно, кроме консоли). Доки — на оффсайте и в арчевике (она универсальна, как обычно).

> Но всякую проприетарщину запускать хотелось бы всё же с ограниченными привелегиями (хотя бы ограничить запись в /home, кроме папки самого приложения, остальное ж ro).

sudo -u nobody program ?

Не, ну конфиг то бы неплохо сохранить

Ну так что мешает создать пользователя и сделать его владельцем каталога программы?