특정 프로그램에 대한 모든 트래픽을 허용할 수 있나요 iptables? 그렇지 않으면 동시 사용 nmap과 엄격한 구성이 불가능해 보입니다.iptables
답변1
iptables를 사용하면 특정 프로그램의 모든 트래픽이 허용되도록 지정할 수 없지만 특정 사용자로 실행되는 애플리케이션의 트래픽이 허용되도록 지정할 수 있습니다.
예를 들어.
$ iptables -A OUTPUT -p tcp --dport 992 -d localhost -m owner ! --uid-owner root -j REJECT
이 규칙은 루트 프로세스 중 하나에서 전송되지 않는 한 로컬 TCP 포트 992로 전송된 패킷을 거부하도록 커널에 지시합니다.
답변2
IMHO 모듈 소유자도 솔루션이 되어야 합니다. 그러나 바이너리를 SUID로 실행하는 것은 유용하지 않을 수 있습니다(SUID 루트가 아니더라도). 대신, SGID로 실행하고 컨테이너 솔루션보다 훨씬 더 쉽게 사용할 수 있습니다 --gid-owner( --uid-owner그리고 모든 사용자의 협력 없이 원하는 효과를 강제할 수 있습니다). 이 프로그램 전용 그룹이나 방화벽의 방해를 받지 않는 모든 프로그램 전용 그룹을 만들 수 있습니다.