Linux güvenlik reddinde kullanıcı sor

Bir uygulama yalnızca dosya yerine sınıflandırılmış dosyalara veya klasörlere (dijital imzalar, SSH anahtarları, kredi kartı bilgileri ve diğer hassas şeyler) erişmek istediğinde kullanıcıya bir Linux güvenlik modülü (örn. AppArmor, SELinux vb.) İstemek mümkün müdür? uygulamanın istenebileceği eylemini reddetme (ör. kullanıcının isteği üzerine bir e-posta imzalamak isteyen bir e-posta istemcisi).

Savunmasız uygulamalar (özellikle web tarayıcıları ve e-posta istemcileri) için katı varsayılan güvenlik politikaları oluşturmak ve kullanıcının belirli bir eylemin istenip istenmediğine karar vermesine izin vermek yararlı olacaktır, böylece sistemin kötüleşmesi, kullanıcıyı kötüleştirmeden önlenebilir. dostu.

Denetim alt sistemine (ve auditd) bir göz atabilirsiniz. Ancak masaüstünde bir pop-up olması için dbus özellikli bir sisteme sahip olmak için yazılacak bazı kodlar vardır. Mandriva'dan ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ) mandi yazılımına göz atabilirsiniz .

incronve inotifybelirtilen dosyalara dokunulduğunda bazı işlemler yapmanızı sağlar.

Bunu görmek için yükleyin inotify-toolsve çalıştırın inotifywait -m ~/someFile. Bu bir pencerede çalışırken, dosyayı başka bir pencerede düzenleyin. Şuna benzer bir şey göreceksiniz:

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.  
Watches established.
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox OPEN 
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

Eğer (veya kökler) crontab dosyasını düzenlemek olurdu gibi Sonra (veya kökler) incrontab düzenleyebilirsiniz: incrontab -e. Yukarıdaki örnekle aşağıdakileri ekleyebilirsiniz:

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

Kontrol belgelere Daha fazla bilgi için.

FEdora Core 15 SELinux danışmanı bu şekilde çalışır (SELinux'da bir güvenlik ihlali tespit edildiğinde bir GUI Penceresi açılır ve girişim meşru ise geçici çözüm önerileri verir). Nasıl yapıldığını bilmiyorum.