Intereting Posts
Ежедневный logRotate для apache в определенное время Являются ли разделение и объем той же концепцией? Как загрузить модуль во время выполнения? Получить время процесса в секундах Имеются ли разделители на уровне блоков? Где xfce4 поддерживает ссылки на приложения? isc-dhcp-server и работает, но, похоже, не работает вообще Как получить доступ к контекстному меню в gnome 3 с клавиатуры? Что такое iodepth в fio? USB-накопитель, отформатированный как «Live Live CD», сохраняет имя CD-ROM после повторного разбиения Как получить список значений соответствия атрибутов с помощью xmllint и xpath? Если строка соответствует в файле, как выводить конкретную строку (строки), которая не встречается на определенном расстоянии от сопоставленной строки? Как ограничить общие ресурсы (память) процесса и его детей Содержимое каталога не отображается при подключении к CentOS 7 VSFTPD Какая цифра для базы больше 16 в bc?

iptables / pf разрешить только XY-приложение / пользователь?

Я думаю, что нет решения iptables / pf, чтобы разрешить только приложение XY, например: исходящий порт tcp 80, eth0. Поэтому, если у меня есть userid: «500», то как я могу заблокировать любые другие сообщения, а затем упомянутые на порту 80 / outbound / tcp / eth0? (например: только privoxy использует порт 80 на eth0)

Дополнительно: virtualbox также использует порт 80? когда браузер на гостевой os посещает сайт .. как декларировать это? – установка обычного пользователя будет слишком большой дырой

вот команда iptables чтобы разрешить определенный uid через определенный порт.

 iptables -A OUTPUT -p tcp -m tcp --dport 80 -m owner --uid-owner username -j ACCEPT 

с страницы руководства

[!] –uid-owner userid [-userid] Соответствует, если файловая структура пакета (если она есть) принадлежит данному пользователю. Вы также можете указать числовой UID или диапазон UID.

насколько это возможно. Я считаю, что он запускает собственное ядро ​​… так что вы можете захотеть использовать --uid-owner на ОС хоста, но затем на виртуальной машине есть правило владельца --uid-owner также.

Также может быть полезно отметить, что --gid-owner также существует, и вы можете создать групповой browser и sgid приложения для браузера, чтобы он работал с эффективным групповым browser а затем ставил только тех пользователей, которых вы хотите просматривать в этой группе … это не было бы идеальным решением … но большинство пользователей не пытались запускать какие-либо другие приложения в качестве этой группы, тем самым, как правило, ограничивая исходящее приложение. Я не пробовал этого, поэтому я не на 100%, что он будет работать, как я описал.