Intereting Posts
Debian: получить имя пакета для установленного файла Есть ли способ сообщить initramfs через Grub cmdline, чтобы открыть указанное устройство с помощью cryptsetup? Ssh 'доступ запрещен' от одного хоста, но не другого «Wpa supplicant: не найдена сетевая конфигурация для текущего AP» – адаптер Wi-Fi, основанный на carl9170, скрежет на Debian 7 Как сохранить все vim-буферы при изменении окна tmux? Объединение определенных столбцов из 2 файлов на основе совпадения полей Почему мое имя пользователя вдруг добавило @dhcp? Что такое хорошее приложение для ведения блога? Слишком маленькая ошибка области Hotplug Как передать несколько аргументов через ssh и использовать эти аргументы в сценарии ssh? как заставить getopts просто прочитать первое сообщение персонажа `-` Является ли виртуальная консоль рассмотренным процессом на ядре ОС? Logstash: сообщение о нарушении связи не выполнено Почему файлы обрабатывают скудный ресурс? Как использовать вывод команды для процесса в цикле в Bash?

iptables / pf разрешить только XY-приложение / пользователь?

Я думаю, что нет решения iptables / pf, чтобы разрешить только приложение XY, например: исходящий порт tcp 80, eth0. Поэтому, если у меня есть userid: «500», то как я могу заблокировать любые другие сообщения, а затем упомянутые на порту 80 / outbound / tcp / eth0? (например: только privoxy использует порт 80 на eth0)

Дополнительно: virtualbox также использует порт 80? когда браузер на гостевой os посещает сайт .. как декларировать это? – установка обычного пользователя будет слишком большой дырой

вот команда iptables чтобы разрешить определенный uid через определенный порт.

 iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT 

с страницы руководства

[!] –uid-owner userid [-userid] Соответствует, если файловая структура пакета (если она есть) принадлежит данному пользователю. Вы также можете указать числовой UID или диапазон UID.

насколько это возможно. Я считаю, что он запускает собственное ядро ​​… так что вы можете захотеть использовать --uid-owner на ОС хоста, но затем на виртуальной машине есть правило владельца --uid-owner также.

Также может быть полезно отметить, что --gid-owner также существует, и вы можете создать групповой browser и sgid приложения для браузера, чтобы он работал с эффективным групповым browser а затем ставил только тех пользователей, которых вы хотите просматривать в этой группе … это не было бы идеальным решением … но большинство пользователей не пытались запускать какие-либо другие приложения в качестве этой группы, тем самым, как правило, ограничивая исходящее приложение. Я не пробовал этого, поэтому я не на 100%, что он будет работать, как я описал.