Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Ограничение доступа в сеть приложению - SELinux?  (Прочитано 1053 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Есть такая задачка - ограничить доступ в сеть для ряда приложений. Но не просто запретить, а разрешить только доступ к локальной сети (например, 10.0.0.0/24) и локальному хосту (127.0.0.0/8). iptables такого не позволяет. apparmor (в том варианте, который есть сейчас - в версии 2.7+) - тоже (там невозможно задать адрес источника или приемника). Можно ли для этого использовать SELinux и если да, то как?

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Ограничить сетевой доступ для приложения можно через iptables, если запускать это приложение под выделенным пользователем.
Я не думаю, что SELinux уместно использовать в подобной ситуации.

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Нет, выделенный пользователь не подходит.

Вопрос не в уместности, вопрос в возможности...

Оффлайн Karl500

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Спасибо. Ну и наворочено у них в SELinux... AppArmor попроще как-то, пологичнее кажется.

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
вопрос в возможности
Кое-что похожее нашёл:
http://www.nsa.gov/research/_files/selinux/papers/policy2/x109.shtml#NETCONTEXTS
И там пример описания контекста есть.

 

Страница сгенерирована за 0.08 секунд. Запросов: 25.