Creo que no hay una solución iptables / pf para permitir solo una aplicación XY, por ejemplo, en el puerto 80 de TCP saliente, eth0. Entonces, si tengo un ID de usuario: "500", ¿cómo podría bloquear cualquier otra comunicación que la mencionada en el puerto 80 / outbound / tcp / eth0? (por ejemplo: solo Privoxy está utilizando el puerto 80 en eth0)
Extra: ¿virtualbox también usa el puerto 80? cuando un navegador en el sistema operativo invitado visita un sitio ... ¿cómo declarar eso? - configurar el usuario normal sería demasiado agujero
8
Respuestas:
Aquí está el
iptables
comando para permitir cierto auid
través de un determinado puerto.desde la página man
en lo que respecta a virtualbox ... Creo que ejecuta su propio kernel ... por lo que es posible que desee utilizar
--uid-owner
virtualbox en el sistema operativo host, pero también tener una--uid-owner
regla de propietario en la máquina virtual.También podría ser útil tener en cuenta que
--gid-owner
también existe, y podría crear un grupobrowser
ysgid
las aplicaciones de su navegador para que se ejecute con un grupo efectivobrowser
y luego solo coloque a los usuarios que desea que naveguen en ese grupo ... esto no sería un solución perfecta ... pero la mayoría de los usuarios no intentarían ejecutar ninguna otra aplicación como ese grupo, por lo que, en general, restringe el saliente a esa aplicación, creo. No he probado esto, así que no estoy 100% seguro de que funcione como lo describí.fuente