Prive absolutamente um usuário com direitos mínimos de IP, arquivo e comando

2

Estou tentando proteger um aplicativo personalizado o máximo possível de adulterações externas.

Já vi muitas páginas sobre a prisão de um usuário, mas elas geralmente incluem muitas exceções e quero bloquear esse usuário o máximo possível.

O usuário só precisa executar um aplicativo que seja um websocket ++ client & servidor que precisa da capacidade de:

  • Aceita a porta de conexões de entrada encaminhada de 443 para outra porta, por exemplo, 8000
  • Buscar conexões de saída
  • Comunique-se com um servidor local do PostgreSQL
  • Ler de & gravar em alguns arquivos específicos no diretório em que o aplicativo é executado
  • Obter resultado de ntpd -c 'rv'
  • Aceitar entrada de teclado

Como minha intenção pode ser implementada?

    
por Gilles 17.08.2014 / 19:00

1 resposta

4

se você realmente

want to lock down this user as much as possible

crie uma máquina virtual. O chroot realmente não isola esse processo.

Se uma máquina virtual real é muito pesada, talvez você possa dar uma olhada nos contêineres linux , uma versão leve da máquina virtual. Mais difícil de configurar embora.

Se você quiser algo ainda mais leve, pode tentar configurar o SELinux. Talvez ainda mais difícil de configurar, mas deve fazer exatamente o que você quer

O chroot não é uma medida de segurança, e há várias maneiras de contornar isso.

    
por 17.08.2014 / 19:28