• # selinux

    Posté par  (Mastodon) . Évalué à 4. Dernière modification le 21 septembre 2017 à 14:22.

    selinux + iptables le permet mais ce ne sera pas user friendly et tu devras lire pas mal de doc. Ubuntu fournissait apparmor mais je ne sais pas si c'est toujours d'actualité.

    Sinon il existe peu de firewalls personnels sous linux mais il y'a quand même. On peut citer opensnitch, douane, firestarter ou Guarddog. C'est probablement plus user friendly pour un usage sporadique.

    Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

    • [^] # Re: selinux

      Posté par  . Évalué à 10. Dernière modification le 21 septembre 2017 à 14:48.

      un peu crade mais efficace, et simple, avec les network namespace de linux :

      ip netns add pas-de-reseau
      ip netns exec pas-de-reseau application

      Ajout : en fait c'est pas si crade… c'est même plutôt joli.

      • [^] # Re: selinux

        Posté par  (Mastodon) . Évalué à 3.

        Comme quoi en voulant aider on peut aussi apprendre beaucoup. Je n'avais jamais étudié les options d'ip ni joué "manuellement" (ie sans passer par des trucs comme systemd/docker/lxc qui te prémâchent tout) avec les namespaces linux.

        C'est en effet assez élégant et rapide à faire.

        Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

        • [^] # Re: selinux

          Posté par  . Évalué à 3.

          Ma réponse s’adressait pas vraiment à toi, en fait, j'ai commencé à rédiger en lançant des pistes en vrac (je pensais à LD_PRELOAD et ce genre de truc.

          Et j'ai repensé à toute ses fois où j'avais besoin de mettre un processus avec une config ip particulière et qu'il y avait pas moyen d'avoir une @#!$Ə de connectivité. Et EUREKA !

      • [^] # Re: selinux

        Posté par  . Évalué à 1.

        Merci ça marche !!
        Par contre si j'ai bien compris la manip c'est valable que pour une execution immediate.

        Pensez vous qu'on puisse forcer pour de bon une appli pour qu'elle soit toujours dans ce namespace ?
        Et autre dérive… , les process lancés par cette appli elle même sont-ils dans le même namespace ?

        • [^] # Re: selinux

          Posté par  . Évalué à 1. Dernière modification le 22 septembre 2017 à 19:47.

          Pensez vous qu'on puisse forcer pour de bon une appli pour qu'elle soit toujours dans ce namespace ?

          Ce que tu peux faire c'est utiliser un script de lancement, que ce soit en créant un raccourci avec l'interface de ton environnement de bureau (un lanceur d'application) ou via un script sh.

      • [^] # Re: selinux

        Posté par  . Évalué à 1.

        Bonjour,
        En fait la methode des netspace me cause des soucis, principalement à cause du fait qu'on doit etre root…

        Est-il possible de creer un utilisateur qui n'as pas acces au net et de lancer les softs via son compte ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.