iptables, groups и setgid

357
Taurre

У меня вопрос по поводу модуля "владелец" iptables. Я видел, что с этим можно разрешить только некоторым программам использовать сервисы, основанные на их (e?) Gid.

Исходя из этого, я могу использовать бит set-group-id, чтобы изменить egid программы и, таким образом, управлять фильтром на основе приложения. Например, разрешите только Firefox использовать службы HTTP и HTTPS.

Тем не менее, я знаю, что использование бита set-group-id НЕ является хорошей практикой, но просто для любопытства: если я использую отдельные группы для каждого исполняемого файла (например, группу «firefox» для firefox и т. Д.) И если эти группы читают только и выполнить права доступа к своим исполняемым файлам, это использование вызывает дыру в безопасности? Если да, не могли бы вы привести пример?

3

0 ответов на вопрос

Похожие вопросы