guid를 사용하여 iptables에서 애플리케이션별 액세스 허용

guid를 사용하여 iptables에서 애플리케이션별 액세스 허용

저는 Skype가 작동하기를 원 iptables하고 많은 포트를 허용하고 싶지 않기 때문에 해결책은 다음과 같을 것이라고 생각했습니다.

iptables -A OUTPUT -m owner --gid-owner skypeGrp -j ACCEPT 
iptables -A INPUT -m owner --gid-owner skypeGrp -j ACCEPT

사전에 그룹을 만들고 skypeGrpSkype 애플리케이션을 여기에 넣었습니다.

sudo addgroup skypeGrp
sudo usermod some_username -G skypeGrp
sudo chgrp skypeGrp /usr/bin/skype

이것이 작동하지 않아야합니까?

편집하다:

제가 처음에 질문에서 설명한 접근 방식을 작동하게 만드는 또 다른 핵심 통찰력은 그것이 관심을 active group끌고 있다는 것을 인식하는 것입니다 iptables. 따라서 내 사용자는 여기에 속해야 할 뿐만 아니라 런타임 시에도 그 사람이 skypeGrp되어야 합니다 (참조active groupSkype여기더 알아보기).

답변1

아니요. 규칙은 파일의 그룹 소유자가 아닌 사용자의 그룹을 확인하기 때문입니다.

그러나 Skype 실행 파일의 gid를 설정하면 해당 파일의 그룹 소유자도 사용자 그룹의 일부가 됩니다.

chmod g+s /usr/bin/skype

그러면 iptables규칙이 작동해야 합니다. Skype가 작동하고 권한을 포기하지 않으면.

관련 정보