[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Соотнесение процесса и поля QoS

On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote:
> On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote:
> > On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote:
> > > Я налуркал, что в iptables есть таблица owner, где можно матчить по UID,
> > > GID, PID.
> > > Я использую nftables, там есть матчинг по UID, GID.
> > > Может быть при запуске этих процессов как-то менять им GID?
> > 
> > У меня для аналогичного эффекта (ограничение доступа к сети для некой
> > проприетарщины) много лет используется вот такой простенький setgid
> > wrapper в комбинации c owner GID match в OUTPUT chain:
> > ...
> 
>  В пакете util-linux есть setpriv(1).

Это полезная утилита, но она требует прав рута для своей работы. А мне
нужно ограничить доступ для приложения, которое запускается обычным
пользователем. Кстати, и автору оригинального поста тоже.

Можно, конечно, поставить setgid на бинарник setpriv-а (или на копию) на
нужную группу, но это уже выйдет как из (предварительно заглушённой)
пушки по воробьям стрелять.

-- 
Stanislav
Reply to: