LINUX.ORG.RU
ФорумAdmin

Запуск приложения от пользователя с ограниченным доступом к сети

 , ,


0

2

Хочу создать отдельного пользователя и установить в его «хомячке» пакет, который может «стучать» в интернет. Для запрета этого действия хочу ограничить пользователю доступ в сеть, используя iptables:

iptables -A OUTPUT -p all -m owner --uid-owner username -j DROP

Если я буду вызывать программы этого пользователя через sudo, то будет у них доступ к сети, поскольку у пользователя, от которого идет запуск, он есть?

P.S. Может быть, я неправильное решение выбрал и можно как-то по-другому ограничить доступ в сеть определенным пакетам?

Где в aix взять статистику по I/O ?
методы активной защиты станции/сервера. Законные и не очень.

вызывать программы этого пользователя через sudo

через sudo это будет уже от другого пользователя...

Хочу создать отдельного пользователя и установить в его «хомячке» пакет, который может «стучать» в интернет. Для запрета этого действия хочу ограничить пользователю доступ в сеть

Надо что сделать? Запретить или рпазрешить?

samson ★★
()

Смотри в сторону firejail, там можно полностью сеть обрубить, да и другие ограничения тоже. В использовании очень просто, и отдельный юзер не требуется.

Psych218 ★★★★★
()
Ответ на: комментарий от Grizzly

Попробовал. Работает с ключиком --net=none. Только вот отдельный пользователь кажется надежнее. Кто его знает, каким образом приложение может лезть в сеть и что-то передавать. Вдруг какие-то другие исполнимые файлы пытаются это сделать. А у отдельного пользователя целый каталог огорожен :)

Grizzly
() автор топика

зачем тебе пользователь, который имеет рута, но не и меет сеть? создай отдельно пользователя, который для рут доступа (root юзер уже есть. поэтому создавать нового не обязательно), отдельно который не имеет доступа ни к сети, ни к руту.

teod0r ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Где в aix взять статистику по I/O ?
Admin
методы активной защиты станции/сервера. Законные и не очень.