[unix] Linux 보안 거부시 사용자에게 프롬프트

응용 프로그램이 분류 된 파일이나 폴더 (디지털 서명, SSH 키, 신용 카드 정보 및 기타 민감한 항목)에 액세스하려고 할 때 Linux 보안 모듈 (예 : AppArmor, SELinux 등)이 사용자에게 메시지를 표시하도록 할 수 있습니까? 바람직 할 수있는 애플리케이션의 동작 거부 (예를 들어, 사용자의 요청에 따라 이메일에 서명하고자하는 이메일 클라이언트).

취약한 응용 프로그램 (특히 웹 브라우저 및 전자 메일 클라이언트)에 대해 엄격한 기본 보안 정책을 설정하고 사용자가 지정된 조치를 원하는지 여부를 사용자가 결정하도록함으로써 사용자를 악화시키지 않고 시스템의 취약성을 피할 수 있습니다. 우정.



답변

감사 서브 시스템 (및 auditd)을 살펴볼 수 있습니다. 그러나 dbus 지원 시스템이 데스크탑에 팝업을 갖도록 작성하는 코드가 있습니다. mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ) 에서 mandi 소프트웨어를 살펴볼 수 있습니다
.


답변

incroninotify지정된 파일에 접촉 할 때 어떤 행동을 할 것입니다.

이것을 보려면 설치 inotify-tools하고 실행하십시오 inotifywait -m ~/someFile. 한 창에서 실행되는 동안 다른 창에서 파일을 편집하십시오. 다음과 같은 내용이 표시됩니다.

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.
Watches established.
/home/user/Dropbox/.dropbox MODIFY
/home/user/Dropbox/.dropbox OPEN
/home/user/Dropbox/.dropbox MODIFY
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE

그런 다음 crontab (또는 루트) crontab을 편집하는 것처럼 crontab (또는 루트) incrontab을 편집 할 수 있습니다 incrontab -e. 위의 예에서 다음을 추가 할 수 있습니다.

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

자세한 내용 은 설명서 를 확인 하십시오.


답변

FEdora Core 15 SELinux 권고자는 이런 방식으로 작동합니다 (SELinux에서 보안 위반이 감지되면 GUI 창을 팝업하고 시도가 합법적 인 경우 조치를 권고합니다). 그러나 어떻게되는지 모르겠습니다.


답변