Comments 34
UFO just landed and posted this here
UFO just landed and posted this here
Спасибо!
хаха) впечатляет. Спасибо!!!
UFO just landed and posted this here
UFO just landed and posted this here
Какое то убожество. man selinux, срочно.
apparmor?
Вопрос (не наезд): apparmor сумеет применять разные правила для одного бинарника? Например, есть несколько приложений на VM (например, на той же java). Бинарник — один. Получится ли как-то контролировать разные приложения? Можно, в принципе, насоздавать симлинков на бинарник виртуальной машины (по одному для каждого приложения), но, имхо, неудобно.
Selinux не лучший вариант.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
Из-за особенностей работы, бывают проблемы с принтерами и сканерами например. В общем много подводных камней.
Для рестарта сети лучше использовать "/etc/init.d/networking restart".
вещь хорошая конечно, а вот как сделать policy based routing по группам? на сколько я помню, метки ставить и одновременно проверять группу не получается в iptables. а очень хочется торренты завернуть мимо vpn соединения
Фу, а зачем извращаться с группами и юзерами, нельзя просто по дефолту всем запретить выход в сеть, а избранным приложениям разрешить? А, это же Линукс :) тут нет простых путей)
во фряшном ipfw возможно сделать правила для опеделенных uid, gid, думаю что iptables не уступает ему в функциональности, т.ч. гляньте в эту сторону в man iptables.
Спасибо!!! возьму на заметку!
UFO just landed and posted this here
браво, самый простой способ для десктопа.
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
однако «не так» начинается, когда ваша машина стоит где-то очень далеко от вас
Вообще-то играть с itables на удаленной машине чревато. Достаточно одного неверного символа и приходиться сделать так, чтобы машина стала от вас близко. (если некому перегрузить). Сам наступил на эти грабли. Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
И не забыть убрать или не удивляться
Я думаю любой админ через это проходит :)
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
Это нормально.
Я обычно делаю первым правилом разрешение себе на доступ по ssh — так безопаснее играться. Ну и проверить, чтобы в случае сброса была возможность продолжить работу.
Так же рекомендуется использовать stateful фаервол. Можно разрешить любой пакет для уже устанолвенного соединения, а фильтровать только новые. См. ESTABLISHED.
> Выход нашел в сбросе всех правил на дофолтовые по крону каждые 15 мин.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
Просто и гениально! Спасибо за решение. А я заморачивался супервниательным прочитыванием и продумыванием написанного.
После чего с чертыханием вспоминаете, что именно в этот момент как раз докачивался громадный файл с рапиды, и его теперь придётся тянуть по новой.
Добавьте пожалуйста в топик обратную операцию — как потом вытащить из этой группы приложение?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
Или доступ приложения в сеть при использовании этого метода будет запрещён разово?
Гуд.
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
Вот только я не понял, зачем добавлять текущего пользователя в группу, если потом приложение и так запускается с другим GID?
спасибо
отличнейшее решение, жаль не позволяет менять правила для приложения «на лету» во время работы приложения.
Sign up to leave a comment.
Ограничение доступа в интернет для приложений в Linux