Ограничить пользователя к конкретным приложениям и ограничить запись, кроме случаев использования указанных приложений
О, он работает так же. Я не заметил, что мне нужно проверить правило с указанием явной строки:
iptables -t nat -L
1 ответ
AppArmor или SELinux должны ответить.
AppArmor кажется более распространенным на данный момент, но вам нужно немного вычислить информацию о настройке его для пользователей (в большинстве руководств упоминаются только профили программ, а не профили пользователей). В AppArmor есть детали, в частности, язык быстрого запуска и SELinux .
Уровень ограничения, который вы желаете, потребует большого количества тестирования и настройки для получения правильно. Существует много требуемых разрешений, которые не сразу очевидны. Например, Mozilla захочет регистрировать историю браузера где-нибудь, и многие программы помещают файлы в / tmp hierachy. Запуск приложения из командной строки часто дает полезный вывод отладки, и команда strace также может быть полезна.