LINUX.ORG.RU
ФорумSecurity

Untrusted программа


0

0

Добрый день,

Какой общепринятый способ в linux выполнять untrusted программы?

Можно, по идее, создавать отдельного пользователя для подобных экспериментов, но хочется чего попроще.

Нужно лишь, чтобы программа могла писать лишь в своем каталоге и при этом ей были доступны всякие /lib.

Читаю сейчас про chroot. Правильно делаю?

★★
Grsec vs SELlinux
Howto по безопасности

Ну, как простейший способ, сойдёт..

MiracleMan ★★★★★
()

>Можно, по идее, создавать отдельного пользователя для подобных экспериментов, но хочется чего попроще.

Ну уж chroot точно не проще, чем создавать отдельного пользователя :) Но chroot это правильнее для untrusted программ. Так то, правильнее всего, ИМХО, SeLinux, но его настроить еще сложнее, чем chroot, хотя он позволит закрыть доступ к сети только для этой программы...

mky ★★★★★
()
Ответ на: комментарий от mky

> хотя он позволит закрыть доступ к сети только для этой программы...

уж проще тогда создать отдельного пользователя и закрыть сеть iptables'ом по UID/GID чем морочиться с селинкусом..

FreeBSD ★★★
()

> Читаю сейчас про chroot. Правильно делаю?

Если подходить к делу серьезно - то виртуальная машина.

tailgunner ★★★★★
()

RSBAC+PAX+SSF+...

SELinux - это для красноглазиков, которым нечего делать, кроме как тратить месяц-другой на его настройку.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Grsec vs SELlinux
Security
Howto по безопасности