В статье "Add an extra layer of security with systrace (http://security.linux.com/article.pl?sid=06/01/16/1933217)" приводится пример ограничения полномочий проблемного с точки зрения безопасности процесса, используя простое и элегантное решение - systrace (http://systrace.org/).
Суть systrace в определении набора ограничений для системных вызовов используемых в подконтрольной программе. Гибкие возможности задания масок для параметров, позволяют, например, запретить выход за пределы определенной директории или создание исходящих сетевых соединений. Для облегчения формирования блоков правил, программа работая в режиме слежения может сформировать шаблон, включив в него всю зарегистирированную активность по системным вызовам.
Systrace яркий пример, как не прибегая к усложнениям подобным SELinux, создать простое, понятное и эффективное решение.
URL: http://security.linux.com/article.pl?sid=06/01/16/1933217
Новость: http://www.opennet.dev/opennews/art.shtml?num=6866