Estou pesquisando como proteger processos, e me deparei com cgroups, que pareciam promissores. Não estou muito interessado em usar virtualização ou strace para isso, já que quero que os programas sejam executados o mais rápido possível. Também estou ciente do SELinux / AppArmor, mas estou procurando algo que não requeira correção do kernel, se possível.
Eu sei que os cgroups podem ser usados para limitar o uso de cpu / mem e o acesso ao sistema de arquivos, mas ele pode ser usado para impedir que um processo abra os soquetes ou vincule as portas? Ou há algo que eu possa usar em conjunto com os cgroups para limitar o acesso à rede? Ser capaz de limitar cada um separadamente seria incrível.
Obrigado novamente!
Você pode configurar as regras iptables que correspondem a um UID / GID ou um intervalo de UIDs / GIDs. Use as opções --uid-owner e --gid-owner para selecionar os UIDs / GIDs a serem correspondidos e execute seu processo em uma dessas contas de usuário.
Essas regras devem estar nas cadeias OUTPUT ou POSTROUTING .
Tags cgroup linux linux-networking