Comments 34
UFO just landed and posted this here
UFO just landed and posted this here
Спасибо!
-16
хаха) впечатляет. Спасибо!!!
-15
UFO just landed and posted this here
UFO just landed and posted this here
Какое то убожество. man selinux, срочно.
+6
apparmor?
+3
Вопрос (не наезд): apparmor сумеет применять разные правила для одного бинарника? Например, есть несколько приложений на VM (например, на той же java). Бинарник — один. Получится ли как-то контролировать разные приложения? Можно, в принципе, насоздавать симлинков на бинарник виртуальной машины (по одному для каждого приложения), но, имхо, неудобно.
0
Selinux не лучший вариант.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
+3
Для рестарта сети лучше использовать "/etc/init.d/networking restart".
+1
вещь хорошая конечно, а вот как сделать policy based routing по группам? на сколько я помню, метки ставить и одновременно проверять группу не получается в iptables. а очень хочется торренты завернуть мимо vpn соединения
0
Фу, а зачем извращаться с группами и юзерами, нельзя просто по дефолту всем запретить выход в сеть, а избранным приложениям разрешить? А, это же Линукс :) тут нет простых путей)
-25
во фряшном ipfw возможно сделать правила для опеделенных uid, gid, думаю что iptables не уступает ему в функциональности, т.ч. гляньте в эту сторону в man iptables.
-2
Спасибо!!! возьму на заметку!
-4
UFO just landed and posted this here
браво, самый простой способ для десктопа.
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
0
Вообще-то играть с itables на удаленной машине чревато. Достаточно одного неверного символа и приходиться сделать так, чтобы машина стала от вас близко. (если некому перегрузить). Сам наступил на эти грабли. Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
0
И не забыть убрать или не удивляться
0
Я думаю любой админ через это проходит :)
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
0
> Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
0
После чего с чертыханием вспоминаете, что именно в этот момент как раз докачивался громадный файл с рапиды, и его теперь придётся тянуть по новой.
+1
Добавьте пожалуйста в топик обратную операцию — как потом вытащить из этой группы приложение?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
-1
Гуд.
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
0
спасибо
0
отличнейшее решение, жаль не позволяет менять правила для приложения «на лету» во время работы приложения.
0
Sign up to leave a comment.
Ограничение доступа в интернет для приложений в Linux