Firewall для отдельных программ

Да, вариант поставить на машине локальный прокси и выпускать все програмы в Инет через него - не предалагать!

Ты не все описал (на каких станциях пользователи работают - Win или Linux?), но посмотри на iptables параметр -m owner, возможно он тебе поможет.

МММ я вообще не понимаю в чем проблема.
Раз вы так сильно озадачены безопастностью вам все карты в руки.
Берем исходники ищем места открытия портов.
быстренько все лишнее убираем, вбиваем свои порты и кушаем фан.
Открытые исходники круть ))

Так можно два броузера поставить одинг туда другой сюда.
А других програм в таком случае вообще быть не должно.

Ну и фаирвольчик чуть подконфигуить на тему портов и т д.
Еще чтонить в духе фаирвол 1 пикс и т д для определения если кто то не туда
ломится.

>ВОПРОС: можно ли в IP tables осуществить разные правила для исходящих
>пакетов для разных процессов в системе

Разве что на разные интерфейсы кидать не более.

И вообще для мониторинга пакетов от разных программ прийдется писать свою
прогу чтоб она мониторила и вовремя правила цепочки тайбэлса, подозреваю
что проще сразу написать модуль к ядру вместо кучи гемороя.

Удачи в геморое тьфу безопасности.

Пользователи, сидят конечно в Lin и, по определенным причинам. нельзя им запретить какие-то программы запускать, которые могут что-то лишнее в Инет отправить. Или эти программы могут подменить, а проверять сумму перед каждым запуском нереально. Два броузера - просто один должен получать инфу ТОЛЬКО через https сервер, не откликаясь на http ссылки (то же и почтовые программы при просмотре html с фрэймами-ссылками), а другой ОДНОВРЕМЕННО работать по ДРУГИМ правилам. Просто в Виндах (будь они неладны) эта проблема решалась тривиально. Простейшие локальные файрволлы (типа outpost) могли создавать отдельные правила для отдельных программ и хранить базу MD5 на файлы, порождающие процессы. Стандартная опция. Самому, можно, конечно модуль создать. Но это надо мутить целый проект. Что-бы вcе вылавливали баги из него. А, что в Linuxe это никто еще не реализовал что-ли? Не верю!

Параметр iprables --owner uid/gid/pid кажется мне подходит! Спасибо за совет, надо было мне просто внимательнее почитать man и написать простой скриптик, ну и поэкспериментировать с id немного. Все в *nixе хорошо продумано, лишний раз убеждаюсь!

Хотя - если у кого есть ссылки на готовые продвинутые скрипты на эту тему - ссылки пожалуйста...

BTW iptables умеют и по имени программы вроде, md5 контролируй tripwire или rpm. А еще поставь chattr +i на броузеры и либы их (man chattr).

>BTW iptables умеют и по имени программы вроде,
лечится приблизительно как в NT
переименованием icq->explorer

Так для того и надо MD5 проверять на уровне "близком к самому файрволлу", в момент установления исходящего соединения. tripw, AIDE и Nabou - хорошо конечно, но нужно файлу с такой-то MD5 соединиться по такому-то порту с таким-то адресом. Может введут когда-нибудь такую опцию.

А PID ведь все время разный! Какая от него польза?

www.grsecurity.net - и будет тебе счастье.
P.S. Там много чего есть, ACL в частности, т.е. можно вообще запретить юзеру программу запускать и библиотеки читать.

2 sco-killer Брр! Похоже на LIDS, только не охота ради этого ядро патчить...

есть маза написать свой обработчик на функции connect, sendto и затем по смотря на доп. группу вызывающего решать разрешать или нет -)