3

У меня вопрос по поводу модуля "владелец" iptables. Я видел, что с этим можно позволить только некоторым программам использовать сервисы, основанные на их (e?)GID.

Исходя из этого, я могу использовать бит set-group-id, чтобы изменить egid программы и, таким образом, управлять фильтром на основе приложения. Например, разрешите только Firefox использовать службы HTTP и HTTPS.

Тем не менее, я знаю, что использование бита set-group-id НЕ является хорошей практикой, но просто для любопытства: если я использую отдельные группы для каждого исполняемого файла (например, группу "firefox" для firefox и т.д.) И если эти группы читают только и выполнить права доступа к своим исполняемым файлам, это использование вызывает дыру в безопасности? Если да, не могли бы вы привести пример?

0