我使用 iptables 阻止我孩子的 Linux 帐户的所有互联网流量。有时我想让他们使用一个程序或另一个程序。在这种情况下,我允许他们通过 sudoers 作为另一个(无限)用户运行该程序。这次我尝试让他们使用缩放功能如此处所述它起作用了。问题是 Zoom 以无限用户身份启动浏览器(例如,单击“帮助”后),这使得整个方法完全无用。
有没有办法限制用户kiddy只能运行sudo -u daddy /usr/bin/zoom,同时阻止启动浏览器(甚至可能是任何子进程)?
答案1
您可以通过设置限制来防止进程分叉子进程RLIMIT_NPROC。例如,与zsh:
#! /bin/zsh -
limit -h maxproc 0
exec zoom "$@"
将通过设置一个来启动zoom并防止它分叉子项难的最大进程数的限制。
现在,我无法zoom具体说明,但根据应用程序,这可能会阻止它工作,因为它可能会分叉子项作为其正常操作的一部分。另请注意,它仍然能够firefox在同一进程中执行。分叉进程和执行命令是两件不同的事情。这就是正在运行的进程zsh能够zoom在该脚本中执行的方式。