On Tue, Oct 02, 2007 at 04:24:17PM +0400, Alexey Tourbin wrote:
> On Tue, Oct 02, 2007 at 03:36:21PM +0400, Alexey Tourbin wrote:
> > On Tue, Oct 02, 2007 at 03:21:24PM +0400, Dmitry V. Levin wrote:
> > > Но вообще идея мне нравится.
> > 
> > Надо подумать, на каком уровне лучше отрубать доступ к сети.
> > Например, это можно делать на уровне suid helper'а (и слинковать
> > его с libiptables).  А в /etc/hasher-priv/$USER хранить дефолтное
> > значение.
> 
> Кстати, если бы libiptables можно было попросить писать все попытки
> доступа ко внешней сети в определенный дескриптор (который /dev/stderr
> в чруте, т.е. прямо в лог сборки), это был бы рулез.

Кстати в man iptables есть какой-то ULOG.  Так что выставлять при
chrootuid какие-то правила и потом перехватывать ядерный лог iptables --
и писать его прямо в лог сборки пакета кажется не такой уж утопией.
Только я не знаю как это сделать.  Нужен специалист по iptables.