LINUX.ORG.RU

Какие есть наиболее простые способы запускать приложения с ограничением прав на сеть и чтение диска?

 ,


2

3

Есть у меня несколько проприетарных бинарных приложений от авторов, которым я не особо доверяю, но пользоваться этими приложениями необходимо для работы. Не кракнутый фотошоп и т.п., а клиент для рендер-фермы и еще парочка вещей.

Я бы не хотел, чтобы некоторые из этих приложений читали мою домашнюю директорию (ну кроме там ~/.cache или еще каких нечувствительных директорий), да и вообще никакую кроме тех, что я укажу и /tmp например, а некоторым я бы хотел полностью закрыть выход в сеть, потому что не могу знать, что именно они могу передавать неизвестно кому.

Какие есть наиболее простые способы запускать приложения с ограничением прав на сеть и чтение диска?

Я ранее встречал способ запуска приложений от другого пользователя, которому по группам порезана сеть, но что в таком случае делать с чтением диска, ну и там как объединить X-сессии (или можно запускать в X одновременно с нескольких пользователей?) я не в курсе.

Посоветуйте, что в таких случаях делают кроме вдоль, спасибо.


Ответ на: комментарий от PunkoIvan

selinux это слишком сложно и оверкилл в моем случае, мне так кажется, всего-то парочку приложений ограничить.

slon
() автор топика
Ответ на: комментарий от slon

посмотри в сторону policy-kit.

или попробуй запускать в контейнерах.

PunkoIvan ★★★★
()

но что в таком случае делать с чтением диска, ну и там как объединить X-сессии (или можно запускать в X одновременно с нескольких пользователей?) я не в курсе

А что с чтением диска не так? Запускать от другого пользователя можно через pkexec и иже с ним.

sudopacman ★★★★★
()

Наиболее простой — firejail. Сам недавно стал им пользоваться. Очень удобная штука. Не требует всяких демонов, перекомпиляций ядра и т.д.

Psych218 ★★★★★
()
Ответ на: комментарий от sudopacman

А что с чтением диска не так?

ну я бы не хотел, чтобы кто-то читал мои ssh ключи, например, ну или ~/Documents/логины_и_пароли.txt вместе с ~/Documents/CreditCard.txt

Ведь это элементарно провернуть даже без использования системных утилит.

slon
() автор топика
Ответ на: комментарий от Psych218

firejail

спасибо, собираю посмотрю.

slon
() автор топика
Ответ на: комментарий от slon

ну я бы не хотел, чтобы кто-то читал мои ssh ключи, например

Ну так а в чём пробема для отдельного пользователя закрыть доступ к своим файлам?

sudopacman ★★★★★
()
Ответ на: комментарий от sudopacman

проблемы нет, а с сетью что?

slon
() автор топика
Ответ на: комментарий от sudopacman

В общем firejail — огонь и моща, вообще кайф, отличное решение.

slon
() автор топика
Ответ на: комментарий от slon

а для чего ты использовал firejail и какой профиль выбрал?

Для запуска всякой сомнительной проприетарщины в изолированном окружении. Также для запуска просто какой-то программы в отдельном «псевдохомяке». Иногда для запуска например фаерфокса с девственно чистым профилем параллельно работающему. Профили использовал для разных задач разные, да и пишутся свои там легко.

Psych218 ★★★★★
()
Ответ на: комментарий от Psych218

Да, спасибо, я уже разобрался, хотел только что удалить вопрос, но ты уже ответил, оказывается там сеть элементарно отключается:

--net=none

Спасибо, отличная программа, когда выйдет 0.9.42 релиз — запилю новость.

slon
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.