Политики Selinux для процесса, возможно ли?

Question

ipdemon @ipdemon

Политики Selinux для процесса, возможно ли?

Друзья, помогите разобраться.
Есть сервер на Debian на котором от не привилегированного пользователя запускаются несколько (до 100 единиц) однотипных процессов в screen'ах. У запускаемого софта есть неприятная особенность — через некую уязвимость пользователь отдельного запущенного экземпляра процесса может получить доступ ко всем директориям и файлам доступным пользователю от имени которого он запущен.
Возможно ли с помощью selinux заблокировать запущеный процесс в директории из которой он запущен?
Chroot — не подойдёт, т.к. полностью перестанет функционировать система управления этими запущенными процессами.

Вопрос задан более трёх лет назад
2710 просмотров

Комментировать

Подписаться 3 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 2

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Linux

+4 ещё

Простой
Как исправить ошибку при установке pam_sqlite?
- 1 подписчик
- 7 часов назад
- 12 просмотров
1

ответ
Linux

+1 ещё

Простой
Хочу заняться графической оболочкой для линукс. Есть ли какая-нибудь база дистрибутива?
- 1 подписчик
- 11 часов назад
- 97 просмотров
3

ответа
Linux

Средний
Linux на SSD рядом с Win10, на внешний HDD или виртуализация?
- 1 подписчик
- 21 час назад
- 141 просмотр
6

ответов
Linux

+1 ещё

Простой
Что делать, если пишет «error: unknown filesystem Enering rescue mode... grub rescue>»?
- 1 подписчик
- вчера
- 113 просмотров
2

ответа
Linux

+3 ещё

Простой
Как вернуть обратно gnome 44 в Kali linux?
- 1 подписчик
- вчера
- 66 просмотров
0

ответов
Linux

+1 ещё

Средний
Astra Linux — как избавиться от шума в HDD?
- 2 подписчика
- вчера
- 332 просмотра
4

ответа
Linux

+2 ещё

Простой
Что выбрать для проекта Windows Embedded или Linux?
- 1 подписчик
- вчера
- 167 просмотров
4

ответа
Linux

+1 ещё

Средний
Как переименовать файлы и папки с одинаковым именем, но разным регистром?
- 1 подписчик
- вчера
- 111 просмотров
0

ответов
Linux

Простой
Почему не отрабатывает REISUB?
- 1 подписчик
- 18 апр.
- 67 просмотров
1

ответ
Linux

+1 ещё

Средний
Как выглядят данные об авторизации linux?
- 1 подписчик
- 17 апр.
- 161 просмотр
2

ответа
Показать ещё Загружается…

Программист C для Embedded Linux

Radiofid • Санкт-Петербург

от 120 000 до 180 000 ₽

Linux Администратор DevOps

ИМАГ • Москва

от 150 000 до 170 000 ₽

Программист C/C++ embedded Linux

РТК Автоматика • Москва

от 170 000 до 250 000 ₽

Разработать интранет сайт (корпоративный портал)

20 апр. 2024, в 07:24

100000 руб./за проект

Исправить адаптивную верстку на Tilda Zero Block

20 апр. 2024, в 06:39

4000 руб./за проект

Доработка аддона для Xenforo v2.2.13

20 апр. 2024, в 06:06

200 руб./за проект

Answer 1 · 2012-06-30 01:48:05

Андрей Буров @BuriK666

Компьютерный псих

Вам подойдет Grsecurity

Ответ написан более трёх лет назад

Комментировать

Answer 2 · 2012-07-03 10:14:46

Да, с помощью SELinux такое сделать можно. Исполняемому процессу назначается метка, далее пишется правило, которое разрешает ему обращаться только к ресурсам с определенными метками (контекстами). Далее обращения за пределы разрешенных директорий, несмотря на то, что файловых прав доступа хватает, блокируются ядром.

Попробуйте поискать в сети примеры такой изоляции. Начать можно, например, отсюда.

Политики Selinux для процесса, возможно ли?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт