Προς το περιεχόμενο

Application Firewall:συγκεκριμένα προγράμματα αποκτούν πρόσβάση σε συγκεκριμένα ports

jsmith6

Από τον jsmith6
στο Linux

Προτεινόμενες αναρτήσεις

nske Mentor

nske

Δημοσ.
Δημοσ.
Προγανώς γίνεται, γι αυτό βγήκε.

Πιο πιθανό να βγήκε για να ελέγχεται το traffic ανάλογα τον χρήστη σε μηχανήματα που χρησιμοποιούνται από πολλούς χρήστες. Το ότι μπορεί να γίνει αυτό που λες είναι μάλλον αποτέλεσμα της ευελιξίας του unix που επιτρέπει τον εφευρετικό συνδιασμό διαφορετικών τεχνολογιών για σκοπούς που δεν είχε προβλέψει ο σχεδιαστής τους.

 

Όμως έχεις δίκιο, θεωρητικά είναι μια δυνατή λύση -απλά από όσο τη δοκίμασα δεν είναι καθόλου πρακτική, ειδικά για ένα desktop μηχάνημα όπου οι περισσότερες εφαρμογές δεν υποστηρίζουν εσωτερικά setgid():

 

- πολλές εφαρμογές διαμαρτύρονται αν πας να τις τρέξεις άμεσα με setuid/setgid (βλ. GTK)

 

- κάθε φορά που γίνεται update μια σχετική εφαρμογή από τον package manager χρειάζονται διόρθωση τα permissions της

 

- ο χρόνος και ο κόπος που χρειάζεται για να ρυθμιστεί κάθε μια εφαρμογή να εκτελείται έτσι μπορεί να γίνει πολύ μεγάλος, ειδικά αν έκτελείται μέσα από κάποιο helper script και έχει πολλά εκτελέσιμα.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
r3b Proficient

r3b

Δημοσ.
Δημοσ.
Πιο πιθανό να βγήκε για να ελέγχεται το traffic ανάλογα τον χρήστη σε μηχανήματα που χρησιμοποιούνται από πολλούς χρήστες. Το ότι μπορεί να γίνει αυτό που λες είναι μάλλον αποτέλεσμα της ευελιξίας του unix που επιτρέπει τον εφευρετικό συνδιασμό διαφορετικών τεχνολογιών για σκοπούς που δεν είχε προβλέψει ο σχεδιαστής τους.

 

Όμως έχεις δίκιο, θεωρητικά είναι μια δυνατή λύση -απλά από όσο τη δοκίμασα δεν είναι καθόλου πρακτική, ειδικά για ένα desktop μηχάνημα όπου οι περισσότερες εφαρμογές δεν υποστηρίζουν εσωτερικά setgid():

 

- πολλές εφαρμογές διαμαρτύρονται αν πας να τις τρέξεις άμεσα με setuid/setgid (βλ. GTK)

 

- κάθε φορά που γίνεται update μια σχετική εφαρμογή από τον package manager χρειάζονται διόρθωση τα permissions της

 

- ο χρόνος και ο κόπος που χρειάζεται για να ρυθμιστεί κάθε μια εφαρμογή να εκτελείται έτσι μπορεί να γίνει πολύ μεγάλος, ειδικά αν έκτελείται μέσα από κάποιο helper script και έχει πολλά εκτελέσιμα.

 

Γι όλους αυτούς τους δύσκολους λεκέδες πρέπει να βάλεις sudo πριν την πλύση.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
nske Mentor

nske

Δημοσ.
Δημοσ.

Όμως η sudo δε μπορεί να επιβάλει effective gid, μόνο uid (gid πάει το default του user). Και το να έχεις 20 διαφορετικούς user accounts (και 20 environments) για 20 διαφορετικές εφαρμογές που θα εκτελούνται από το ίδιο άτομο μου φαίνεται άκομψο και ότι καταργεί τον παραδοσιακό σκοπό των ιδιοκτησιών. Όπως το βλέπω, όλα τα αρχεία ενός χρήστη (π.χ. αρχεία ρυθμίσεων ή άλλα αρχεία που αποθηκεύουν οι εφαρμογές που τρέχει) πρέπει να ανοίκουν στον ίδιο χρήστη και να έχει αυτός άμεσα πρόσβαση σε αυτά.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
r3b Proficient

r3b

Δημοσ.
Δημοσ.
Όμως η sudo δε μπορεί να επιβάλει effective gid, μόνο uid (gid πάει το default του user).

Κανεις λάθος. Μπορεί.

http://www.gratisoft.us/sudo/man/sudoers.html

Runas_User έχει και group.

 

Και το να έχεις 20 διαφορετικούς user accounts (και 20 environments) για 20 διαφορετικές εφαρμογές που θα εκτελούνται από το ίδιο άτομο μου φαίνεται άκομψο και ότι καταργεί τον παραδοσιακό σκοπό των ιδιοκτησιών. Όπως το βλέπω, όλα τα αρχεία ενός χρήστη (π.χ. αρχεία ρυθμίσεων ή άλλα αρχεία που αποθηκεύουν οι εφαρμογές που τρέχει) πρέπει να ανοίκουν στον ίδιο χρήστη και να έχει αυτός άμεσα πρόσβαση σε αυτά.

 

Νταξ, οταν ΠΡΕΠΕΙ να δώσεις λύση (και πληρώνεσε γι αυτό) τότε δεν σε νοιάζει η μόδα αλλά η ουσία.

 

τέσπα, δεν είναι debate το thread, απλά κάποια πράματα, αν δεν γνωρίζουμε πως γίνονται καλό θα ήταν να μην λέμε οτι δεν γίνονται στους νεοεισερχόμενους χρήστες.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
nske Mentor

nske

Δημοσ.
Δημοσ.
Runas_User έχει και group.

Αυτό δεν προσδιορίζει το group id του process, απλά κάνει match όλους τους users που είναι μέλη στο ορισμένο group ως δυνατούς χρήστες με των οποίων τα δικαιώματα θα μπορούσε να τρέξει κατά βούληση η εφαρμογή. Όχι;

 

απλά κάποια πράματα, αν δεν γνωρίζουμε πως γίνονται καλό θα ήταν να μην λέμε οτι δεν γίνονται στους νεοεισερχόμενους χρήστες.

 

Δε νομίζω να άφησα πουθενά να εννοηθεί ότι είμαι σίγουρος πώς δε γίνεται. Απάντησα απλά σε μια ευθεία ερώτηση όσο καλύτερα μπορούσα. Συγκεκριμένα:

Μια ακόμα ερώτηση. Εφορμόμενος από το avatar που έχεις (τον χαριτωμένο BSD deamon :P)' date=' μήπως μπορείς να μου πεις αν υπάρχει αυτό που ψάχνω στα BSD (Free, Open, Net);[/quote']Όχι απ' όσο ξέρω (τουλάχιστον όχι μέσα από το firewall τους ή με κάποιον άλλον απλό τρόπο). Αν γίνεται μάλλον[/b'] θα γίνεται μόνο στο FreeBSD μέσω του TrustedBSD.

 

 

Φυσικά έχεις δίκιο στο ότι γίνεται θεωρητικά με τον τρόπο που πρότεινες, δεν προσπαθώ να σε βγάλω λάθος! Απλά λέω τη γνώμη μου ότι δε μου φαίνεται βιώσιμη λύση για ένα desktop μηχάνημα και ότι, επειδή είναι πολύ πατέντα, θα σου βγάλει την πίστη για να στηθεί όπως πρέπει και πάλι είναι πιθανό να υπάρξουν παρενέργειες σε κάποιες εφαρμογές (τουλάχιστον στην περίπτωση που χρησιμοποιηθούν user accounts για διαχωρισμό).

 

Νταξ, οταν ΠΡΕΠΕΙ να δώσεις λύση (και πληρώνεσε γι αυτό) τότε δεν σε νοιάζει η μόδα αλλά η ουσία.

Το να επιδιώκεις να χρησιμοποιείς κάτι όπως σχεδιάστηκε δεν είναι θέμα μόδας αλλά ουσίας. Νομίζω ότι ιδιαίτερα όταν πληρώνεσαι πρέπει να κοιτάς μακριά και να υιοθετείς όσο το δυνατόν πιο δοκιμασμένες και σωστές λύσεις που θα παίζουν και αύριο, υπό όσο το δυνατόν πιο διαφορετικές/απρόβλεπτες συνθήκες. Η υλοποίηση μέσω ενός MAC system είναι πιο σωστή σχεδιαστικά, οπότε μάλλον θα ήταν μονόδρομος για ένα επαγγελματικό περιβάλλον.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Αρχειοθετημένο

Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.

Προς την λίστα θεμάτων
  • Δημιουργία νέου...