On Tue, Oct 02, 2007 at 02:53:01PM +0400, Alexey Tourbin wrote:
> On Tue, Oct 02, 2007 at 02:45:22PM +0400, Dmitry V. Levin wrote:
> > > В частности, это связано с тем, что некоторые пакеты чево-то сосут
> > > с сети.  Нет ли какого-нибудь сопособа запретить пользователю
> > > типа bee_b доступ к сети за пределами 127.0.0.1?
> > 
> > Такой способ есть, iptables называется.
> > Запретить?
> 
> Я этот способ плохо знаю.  Ну ладно.

--uid-owner

> Сначала хорошо бы включить режим
> типа "писать в log все попытки юзера bee_b открыть tcp/udp соединения 
> за пределами 127.0.0.1".  Это позволит предварительно проанализировать,
> кто куда стучится, и разобраться, зачем это делается.

Это тоже легко делается средствами iptables.
Точнее говоря, сложить в лог, куда стучался bee_*, легко, а вот сделать
join логов сборки и логов ядра несколько сложнее.

> Если просто запретить, то не особо понятно, в каком месте мы выигрываем.
> То есть желательно сначала знать а потом делать.

Но вообще идея мне нравится.


-- 
ldv