отклонить любое письмо к данному приложению и его детям

Итак, у меня есть приложение Python (которое порождает другие процессы), которое я хочу отрицать. Это похоже на работу для SELinux. Не могли бы вы описать шаги, необходимые для достижения этого, или, возможно, направить меня к некоторому хорошему ресурсу чтения, поскольку из того, что я нашел, их не так уж много.

В каждой ОС это довольно сложно сделать на данный момент. Разработчики Chrome сделали некоторую работу в этой области, но это все еще сложно. Они пришли с решением около 22k строк кода (LOC) для Win * систем и 11k LOC для Linux.

В последних новостях FreeBSD 9.0 была анонсирована с помощью Capsicum , разработанной для этой цели, но она может работать только на * BSD-системах.

В Linux вы можете избежать SELinux или AppArmor с помощью seccomp. См. Эту статью LWN для получения более подробной информации и использования примеров. Но это очень сложно: это все или ничего особенность для системных вызовов, таких как чтение или запись.

В настоящее время в LKML используется новый подход, используя фильтр Berkeley Packet Filter, см. Этот пост Will Drewry.