On Sun, Sep 22, 2019 at 01:47:13PM +0300, Eugene Berdnikov wrote: > On Sat, Sep 21, 2019 at 10:37:15PM +0100, Stanislav Maslovski wrote: > > On Sun, Sep 15, 2019 at 12:12:10PM +0300, Pavel Volkov wrote: > > > Я налуркал, что в iptables есть таблица owner, где можно матчить по UID, > > > GID, PID. > > > Я использую nftables, там есть матчинг по UID, GID. > > > Может быть при запуске этих процессов как-то менять им GID? > > > > У меня для аналогичного эффекта (ограничение доступа к сети для некой > > проприетарщины) много лет используется вот такой простенький setgid > > wrapper в комбинации c owner GID match в OUTPUT chain: > > ... > > В пакете util-linux есть setpriv(1).
Это полезная утилита, но она требует прав рута для своей работы. А мне нужно ограничить доступ для приложения, которое запускается обычным пользователем. Кстати, и автору оригинального поста тоже. Можно, конечно, поставить setgid на бинарник setpriv-а (или на копию) на нужную группу, но это уже выйдет как из (предварительно заглушённой) пушки по воробьям стрелять. -- Stanislav
