Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 34
Спасибо!
хаха) впечатляет. Спасибо!!!
Какое то убожество. man selinux, срочно.
apparmor?
Вопрос (не наезд): apparmor сумеет применять разные правила для одного бинарника? Например, есть несколько приложений на VM (например, на той же java). Бинарник — один. Получится ли как-то контролировать разные приложения? Можно, в принципе, насоздавать симлинков на бинарник виртуальной машины (по одному для каждого приложения), но, имхо, неудобно.
Selinux не лучший вариант.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
Для рестарта сети лучше использовать "/etc/init.d/networking restart".
вещь хорошая конечно, а вот как сделать policy based routing по группам? на сколько я помню, метки ставить и одновременно проверять группу не получается в iptables. а очень хочется торренты завернуть мимо vpn соединения
Фу, а зачем извращаться с группами и юзерами, нельзя просто по дефолту всем запретить выход в сеть, а избранным приложениям разрешить? А, это же Линукс :) тут нет простых путей)
во фряшном ipfw возможно сделать правила для опеделенных uid, gid, думаю что iptables не уступает ему в функциональности, т.ч. гляньте в эту сторону в man iptables.
Спасибо!!! возьму на заметку!
браво, самый простой способ для десктопа.
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
Вообще-то играть с itables на удаленной машине чревато. Достаточно одного неверного символа и приходиться сделать так, чтобы машина стала от вас близко. (если некому перегрузить). Сам наступил на эти грабли. Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
И не забыть убрать или не удивляться
Я думаю любой админ через это проходит :)
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
> Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
После чего с чертыханием вспоминаете, что именно в этот момент как раз докачивался громадный файл с рапиды, и его теперь придётся тянуть по новой.
Добавьте пожалуйста в топик обратную операцию — как потом вытащить из этой группы приложение?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
Гуд.
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
спасибо
отличнейшее решение, жаль не позволяет менять правила для приложения «на лету» во время работы приложения.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ограничение доступа в интернет для приложений в Linux