ผู้ใช้ที่พร้อมรับคำสั่งปฏิเสธความปลอดภัยของ Linux


12

เป็นไปได้ไหมที่จะสร้างโมดูลความปลอดภัยของ Linux (เช่น AppArmor, SELinux เป็นต้น) แจ้งให้ผู้ใช้เมื่อแอปพลิเคชันต้องการเข้าถึงไฟล์หรือโฟลเดอร์ที่จัดประเภท (ลายเซ็นดิจิทัล, คีย์ SSH, ข้อมูลบัตรเครดิตและสิ่งอื่น ๆ ที่มีความละเอียดอ่อน) แทน ปฏิเสธการทำงานของแอปพลิเคชันซึ่งอาจเป็นที่ต้องการ (เช่นไคลเอนต์อีเมลที่ต้องการลงชื่ออีเมลตามคำขอของผู้ใช้)

มันจะเป็นประโยชน์ในการตั้งค่านโยบายความปลอดภัยเริ่มต้นที่เข้มงวดสำหรับแอปพลิเคชันที่มีช่องโหว่ (โดยเฉพาะเว็บเบราว์เซอร์และไคลเอนต์อีเมล) และให้ผู้ใช้ตัดสินใจว่าจะดำเนินการตามที่ต้องการหรือไม่ดังนั้นช่องโหว่ของระบบ เป็นมิตร

คำตอบ:


2

คุณสามารถดูระบบย่อยการตรวจสอบ (และ auditd) อย่างไรก็ตามมีบางรหัสที่จะเขียนเพื่อให้ระบบที่เปิดใช้งาน dbus มีป๊อปอัปบนเดสก์ท็อป คุณสามารถดูซอฟต์แวร์ mandi ได้จาก mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall )


1

incronและinotifyจะช่วยให้คุณดำเนินการบางอย่างเมื่อสัมผัสไฟล์ที่ระบุ

หากต้องการดูนี้ติดตั้งและเรียกใช้inotify-tools inotifywait -m ~/someFileขณะที่ทำงานในหน้าต่างเดียวให้แก้ไขไฟล์ในหน้าต่างอื่น คุณจะเห็นสิ่งที่ชอบ:

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.  
Watches established.
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox OPEN 
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

จากนั้นคุณสามารถแก้ไขของคุณ (หรือราก) incrontab เช่นเดียวกับที่คุณจะแก้ไขของคุณ (หรือราก) incrontab -ecrontab: จากตัวอย่างข้างต้นคุณสามารถเพิ่มสิ่งต่อไปนี้:

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

ตรวจสอบเอกสารประกอบสำหรับข้อมูลเพิ่มเติม


-1

FEdora Core 15 SELinux ที่ปรึกษาเรียงลำดับของงานดังกล่าว (ปรากฏขึ้นหน้าต่าง GUI เมื่อตรวจพบการละเมิดความปลอดภัยใน SELinux และให้คำแนะนำวิธีแก้ปัญหาหากความพยายามนั้นถูกต้องตามกฎหมาย) แม้ว่ามันจะทำอย่างไรฉันไม่รู้

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.