对于我正在做的演示,我试图找出是否有一个基于Linux的开源应用程序白名单服务的Linux,类似于Windows 软件限制政策自2002年以来。似乎有一些商业的(如McAfee应用程序控制) ,但是我的谷歌search到目前为止没有成为一个相当的开源软件。
我知道你可以在SE Linux上做类似的事情,特别是现在像redhat和centos这样的人喜欢用stream行的服务。 但似乎没有什么可以说, “这些用户可以执行这些哈希标识这些程序” 。
我错了吗?
这不是Linux世界所采取的方法,因为这是很难保持理智的。 使用不同哈希的appX更新版本需要调整策略,如果您不得不为不同的用户支持多个版本,则这个比例是不合适的。 对于任何基于Unix的系统来说,这是非常棘手的,因为操作系统很大程度上依赖于能够执行大量的小工具,比如在/ usr / bin中find – 跟踪所有这些哈希值是不值得的。 Linux上的一般方法是对每个进程进行充分的沙箱处理,以便即使它是恶意的,也不会造成太大的损害 – 无论是通过内核保护还是通过诸如SELinux,AppArmour和gr_security之类的工具。
在SELinux下,大多数安装的非通用软件都会收到自己的域名types,因此您可以编写用户策略来限制允许用户执行哪些域。 如果你想要一个例子,下面是一个允许用户login的策略,运行大多数通用的命令行工具(ls,find等),并执行一个IRC客户端。 但是,例如,它不能启动graphics界面,发送邮件,或做一大堆其他事情:
policy_module(ircuser, 1.0.0) role ircuser_r; irc_role(ircuser_r, ircuser_t) userdom_restricted_user_template(ircuser) gen_user(ircuser_u, user, ircuser_r, s0, s0) 那么你只需要编译,安装并分配给你想要限制的用户。