Подскажите пользователю об отказе в безопасности Linux

Возможно ли создать модуль безопасности Linux (например, AppArmor, SELinux и т. Д.), Когда пользователь хочет получить доступ к секретным файлам или папкам (цифровые подписи, ключи SSH, сведения о кредитной карте и другие чувствительные вещи), а не просто отрицая действие приложения, которое может быть желательным (например, клиент электронной почты, желающий подписать электронное письмо по запросу пользователя).

Будет полезно установить строгие политики безопасности по умолчанию для уязвимых приложений (особенно веб-браузеров и почтовых клиентов) и позволить пользователю решить, требуется ли какое-либо задание или нет, поэтому можно избежать уязвимости системы без ухудшения пользовательского интерфейса, дружелюбие.

  • Использование sys-сервера без пароля на CentOS 6
  • Мне нужно создать модуль для новой программы или просто использовать существующую?
  • Неверная роль и тип при входе в систему
  • Какие роли выполняют DAC (разрешения файлов), ACL и MAC (SELinux) в защите файлов Linux?
  • Как сделать restorecon -f рекурсивно?
  • Как изменить тип сервиса хорошо определенных портов в SElinux (centOS 6.5)
  • SELINUX_ERR op = security_bounded_transition
  • Как пометить вновь созданный файл с помощью «system_u»?
  • 3 Solutions collect form web for “Подскажите пользователю об отказе в безопасности Linux”

    Вы можете взглянуть на подсистему аудита (и auditd). Однако есть некоторый код для записи, чтобы система с поддержкой dbus имела всплывающее окно на рабочем столе. Вы можете взглянуть на программное обеспечение mandi, от mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ).

    incron и inotify позволят вам сделать некоторые действия, когда указанные файлы будут затронуты.

    Чтобы увидеть это, установите inotify-tools и запустите inotifywait -m ~/someFile . Пока это работает в одном окне, отредактируйте файл в другом окне. Вы увидите что-то вроде:

     $ inotifywait -m /home/user/Dropbox/.dropbox Setting up watches. Watches established. /home/user/Dropbox/.dropbox MODIFY /home/user/Dropbox/.dropbox OPEN /home/user/Dropbox/.dropbox MODIFY /home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

    Затем вы можете отредактировать свои (или корни) incrontab так же, как вы отредактируете свои (или корни) crontab: incrontab -e . В приведенном выше примере вы можете добавить следующее:

     /home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run 

    Дополнительную информацию см. В документации .

    Советник SELinux FEdora Core 15 работает таким образом (он открывает окно GUI, когда обнаружение безопасности обнаруживается в SELinux и советует рабочие ресурсы, если попытка является законной). Однако, как это делается, я не знаю.

    Linux и Unix - лучшая ОС в мире.