LINUX.ORG.RU

Ограничить приложениям доступ к файлу.

 


0

1

Не смог подружить cron, offlineimap и gnome-keyring. Решил не заморачиваться и вписать пароли в конфиг просто так. Но с другой стороны, как то оно не секурно - поэтому subj. Хочу ограничить доступ к конфигу всем кроме offlineimap. Почитал про apparmor(дистр - Ubuntu), но там профиль пишется для ограничения доступа приложения к файлам, а мне хочется наоборот - приложениям к файлу. Есть какой нибудь не очень сложный способ это сделать?

★★

Последнее исправление: psh (всего исправлений: 1)

Поставь ограничение на запись и чтение.

//Так как ты не указал дистр, будем считать что у тебя убунта. И ты можешь намышковозить иначе делай через chmod.

nickionn ★☆
()

Вроде, apparmor не позволяет ввести ограничения разом для всех приложений, только создавать свой профиль для каждого бинарника.

mky ★★★★★
()
Ответ на: комментарий от nickionn

(дистр - Ubuntu)

:) По теме - я хотел, что бы файл могло читать только одно приложение, а остальные обламывались. Чтобы например какой нибудь гипотетический гад не залез в конфиг offlineimap и не подсмотрел мои пароли. Offlineimap запускается из под моего пользователя, так что это не совсем то.

psh ★★
() автор топика

AppArmor, GrSecurity. В конфиге GrSecurity, например, можно указать дефолтные права на файлы и права для конкретного бинарника. Всего несколько строчек получится.

anonymous
()
Ответ на: комментарий от anonymous
/ {
  / rwx
  /path/to/offlineimap/config
}

/usr/bin/offlineimap {
  /path/to/offlineimap/config rwx
}

Подозреваю, что в AppArmor будет почти то же самое.

anonymous
()
Ответ на: комментарий от psh

SeLinux вместе с AppArmor работать не будет. Здесь https://help.ubuntu.com/community/SELinux , если я правильно понял, советуют использовать пакеты из Дебиана.

В общем прикрутить можно всё, только это уже будет не Убунта :-)

Задачи, подобной вашей я не решал. Вроде средствами SeLinux её решить можно, но, получается, что нужно создать для файла отдельный контекст и для всех определённых в политиках доменов безопасности (а их там много) явно запретить доступ. По моим прикидкам это будет достаточно много строк. Хотя, может я ошибаюсь.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.