iptables, grupos e setgid

3

Eu tenho uma pergunta sobre o módulo "owner" do iptables. Vi que é possível permitir que apenas alguns programas usem serviços com base em seu (e?) Gid.

Com base nisso, posso empregar o bit set-group-id para alterar o egid de um programa e, assim, operar um filtro na base de aplicativo. Por exemplo, apenas permita que o firefox use os serviços HTTP e HTTPS.

No entanto, sei que empregar set-group-id bit NÃO é uma boa prática, mas apenas por curiosidade: se eu empregar grupos separados para cada executável (então um grupo "firefox" para firefox, etc) e se esses grupos só tem permissões de leitura e execução em seus executáveis, esse uso induz a falha de segurança? Se assim for, você poderia me dar um exemplo?

    
por Taurre 13.03.2017 / 20:40

0 respostas