Stanislav Maslovski <stanislav.maslov...@gmail.com> писал(а) в своём письме
Sun, 22 Sep 2019 18:11:55 +0300:
On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote:
On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote:
> On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> > Я налуркал, что в iptables есть таблица owner, где можно матчить по UID,
> > GID, PID.
> > Я использую nftables, там есть матчинг по UID, GID.
> > Может быть при запуске этих процессов как-то менять им GID?
>
> У меня для аналогичного эффекта (ограничение доступа к сети для некой
> проприетарщины) много лет используется вот такой простенький setgid
> wrapper в комбинации c owner GID match в OUTPUT chain:
> ...
В пакете util-linux есть setpriv(1).
Это полезная утилита, но она требует прав рута для своей работы. А мне
нужно ограничить доступ для приложения, которое запускается обычным
пользователем. Кстати, и автору оригинального поста тоже.
Можно, конечно, поставить setgid на бинарник setpriv-а (или на копию) на
нужную группу, но это уже выйдет как из (предварительно заглушённой)
пушки по воробьям стрелять.
Есть ещё sg (симлинк на newgrp). Прав рута не требует, переключает на любую
группу, в которой состоит пользователь. Тоже много лет использую для
ограничения доступа в инет некоторым программам.
--
Написано с помощью почтового клиента Opera: http://www.opera.com/mail/
