https://opennet.me/openforum/vsluhforumID3/76001.html Используя утилиту [[http://james-morris.livejournal.com/11010.html Secmark]] можно организовать назначение в правилах iptables SELinux-меток для сетевых пакетов, примерно также как осуществляется назначение меток для локальных системных ресурсов. Подобное может использоваться для предотвращения доступа сторонних процессов, не находящихся под контролем SELinux, к определенному классу пакетов. Например, можно указать что запросы на 80 порт (метка http_packet_t) может отправлять только определенный web-браузер (или процесс, имеющий SELinux-метку http_t) и никто иной.<br><br>По умолчанию все сетевые пакеты снабжаются меткой unlabeled_t, а для всех подконтрольных процессов активируется правило, без ограничений разрешающее отправку и прием пакетов:<br><br> allow MYDOMAIN unlabed_t:packet { send recv };<br><br>При назначении меток для трафика при помощи Secmark разрешительная политика по отношению к unlabed_t может привести к тому, что в случае отключения пакетного фильтра или в момент его перезапуска, правила блокирования бу https://opennet.me/openforum/vsluhforumID3/76001.html#3 Tue, 19 Apr 2011 17:59:11 GMT &gt;"Всем программ, запущенные в рамках сессии<br><br>пользователя, разрешено обращаться как ко внутренним, так и к внешним сетевым ресурсам."<br><br>Т.е. малваре запущенное во время сеанса пользователя будет иметь доступ в Интеренет? А смысл тогда этого всего? От чего хотел обезопасить себя автор???<br> https://opennet.me/openforum/vsluhforumID3/76001.html#2 Mon, 04 Apr 2011 07:57:36 GMT совершенно зря опущено описание use case где автор рассказывает зачем он это делает. <br> https://opennet.me/openforum/vsluhforumID3/76001.html#1 Thu, 31 Mar 2011 23:13:29 GMT всё круто, вот только автор не поленился бы пройтись по "переводу" прежде чем постить ...<br>