我对 iptables 的“所有者”模块有疑问。我发现它可以仅允许某些程序根据其 (e?)gid 使用服务。
在此基础上,我可以使用set-group-id位来改变程序的egid,从而对应用程序进行过滤。例如,只允许firefox使用HTTP和HTTPS服务。
尽管如此,我知道使用 set-group-id 位不是一个好的做法,但只是出于好奇:如果我为每个可执行文件使用单独的组(因此 Firefox 的“firefox”组等),并且这些组对其可执行文件只有读取和执行权限,这种用法是否会导致安全漏洞?如果是这样,你能给我举个例子吗?