12 / 2 页下一页

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-06-21 03:30 |只看该作者 |倒序浏览

如题。
在linux系统中如何禁止特定程序访问网络？基于对程序的控制，而不是基于端口。
提问前搜索过，但用了多种关键词组合都没有找到相关的资料。

文库|博客

myhnet

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2008-06-21 07:19 |只看该作者

tcpwrap?
什么程序啊？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

c2shield

家境小康

论坛徽章:: 0

3楼 [报告]

发表于 2008-06-21 11:48 |只看该作者

限定软件访问网络……在windows下面是怎么实现的？如果能实现，那么linux下面也应该采用相同的方式，虽然系统不一样，但是方式或许是一样的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

taoapca

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2008-06-22 20:18 |只看该作者

使用squid代理作应用层的处理也许可行

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lszh

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2008-06-22 20:25 |只看该作者

有谁可以详细说说tcpwrap或squid关于这方面的用途吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

6楼 [报告]

发表于 2008-06-22 20:55 |只看该作者

LZ要的是禁止某个进程的方法。并且端口肯定是动态的。
因此目前LINUX无法做到。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ljily000

家境小康

论坛徽章:: 0

7楼 [报告]

发表于 2008-06-23 17:57 |只看该作者

楼主的意图不是太清楚

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

志国

富足长乐

论坛徽章:: 0

8楼 [报告]

发表于 2008-06-23 19:22 |只看该作者

没有第三方软件的话，不好实现！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

polokus

富足长乐

论坛徽章:: 0

9楼 [报告]

发表于 2008-06-24 14:03 |只看该作者

Windows下面可以用 NetLimiter 2 Pro，效果还是很不错的

Linux下面就不清楚了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

kenduest

荣誉版主

论坛徽章:: 0

10楼 [报告]

发表于 2008-06-24 14:37 |只看该作者

原帖由 lszh 于 2008-6-21 03:30 发表
如题。
在linux系统中如何禁止特定程序访问网络？基于对程序的控制，而不是基于端口。
提问前搜索过，但用了多种关键词组合都没有找到相关的资料。

若是目前架構，可以用 iptables 來規範，不過好一點應該用 selinux 的 policy 來限制規範。前者比較簡單，後者比較通盤考量。

man iptables:

owner
This module attempts to match various characteristics of the packet creator, for locally-generated pack-
ets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may
have no owner, and hence never match.
--uid-owner userid
Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
Matches if the packet was created by a process in the given session group.
--cmd-owner name
Matches if the packet was created by a process with the given command name. (this option is
present only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP

复制代码

--cmd-owner 就是所需要的。不過依據我個人多台機器測試，早期的 iptables 可以使用，但是目前已經不大支援，跑 dmesg 會看到:

ipt_owner: pid, sid and command matching not supported anymore

复制代码

所以 iptables 目前版本就無法達成所需要的項目。當然啦，若是要傳入 --uid-owner 這類參數還是可以的，只是這個作者需求無關就是。

那考慮用 selinux 的話自己寫 policy 是困難一點就是，若有研究的話倒是可以改用簡化的 selinux policy 來達成該需求。可以先參考 seedit project。

http://seedit.sourceforge.net/

這是一個簡化 selinux 規格配置並提供 policy 編寫的 project。若是要使用該 project 需要熟悉 selinux，而且要改用他的 policy database (一般預設系統是使用 targeted 的 selinux policy database)，該 project 提供 GUI 的編寫工具，就可以設定相關 RBAC rule 設定相關程序是否可以存取某個文件甚至網路連線。

rule 像是:

http://seedit.sourceforge.net/doc/2.1/spdl_spec/node34.html
http://seedit.sourceforge.net/doc/2.1/spdl_spec/node32.html

--

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 在linux系统中如何禁止特定程序访问网络？

[网络管理] 在linux系统中如何禁止特定程序访问网络？ [复制链接]

浏览过的版块