Позволяет говорят, например, что я хочу заблокировать весь трафик кроме поступления от nginx, выхода для Firefox и разрешить посещать и поступающий некоторый клиент потока.Возможно ли это? Я смотрел на apparmor, и это, кажется, не имеет глобальный профиль, но я мог быть неправым.
Действительно ли возможно заблокировать его для всех пользователей включая корень, но добавить доступ в Интернет SOMEUSERNAME в белый список?
действительно ли возможно заблокировать его для всех пользователей включая корень, но добавить доступ в Интернет SOMEUSERNAME в белый список?
Может быть сделан с iptables:
iptables -A OUTPUT -m owner --uid-owner SOMEUSERNAME -j ACCEPT
iptables -A OUTPUT -j REJECT
Это не очень детально. Конечно, пользователь root может идти вперед и переписать правила iptables дать себе разрешение.
можно добавить входящие порты в белый список (скажите SSH, HTTP и HTTPS):
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j REJECT
фильтрация Прикладного уровня не возможна с iptables
, но Вы могли запустить Firefox и клиент потока при отдельных пользователях и таким образом отфильтровать их похожим способом.
Также см.: