2

Я бы хотел, чтобы пользователь указал список команд для сбора статистики о системе, которая ему интересна. Я бы запускал их по разным сценариям автоматически. Тем не менее, я не совсем уверен, как безопасно изолировать команды.

Одним из вариантов будет нести белый список разрешенных команд, но его необходимо поддерживать. Я хотел бы быть очень гибким, например, можно ли запустить произвольную команду в Linux с правами доступа только для чтения файлов?

Какие у тебя идеи?

2 ответа2

3

В Gentoo есть инструмент sandbox , который позволяет запускать программы в песочнице с доступом только для чтения извне. Я успешно построил его и под Ubuntu. Источники можно скачать здесь.

2

SELinux позволит вам сделать это. Вы можете поместить исполняемые файлы в ограниченный домен или создать новую роль с ограниченными разрешениями.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .