使用 guid 允许 iptables 中的应用程序特定访问

使用 guid 允许 iptables 中的应用程序特定访问

我想让 Skype 工作,iptables并且不想允许大量端口,因此我认为解决方案可能是

iptables -A OUTPUT -m owner --gid-owner skypeGrp -j ACCEPT 
iptables -A INPUT -m owner --gid-owner skypeGrp -j ACCEPT

我事先创建了一个名为的组skypeGrp,然后将 Skype 应用程序放入其中:

sudo addgroup skypeGrp
sudo usermod some_username -G skypeGrp
sudo chgrp skypeGrp /usr/bin/skype

这不应该起作用吗?

编辑:

我认为使我最初在问题中概述的方法发挥作用的另一个关键见解是认识到它active groupiptables引起注意。因此,我的用户不仅必须属于skypeGrp,这也必须是他active group在运行时的Skype(请参阅这里了解更多)。

答案1

否,因为该规则将检查用户的组,而不是文件的组所有者。

但是,如果您设置 Skype 可执行文件的 gid,则文件的组所有者也将成为用户组的一部分。

chmod g+s /usr/bin/skype

那么您的iptables规则应该有效...如果 Skype 有效且不会放弃权限。

相关内容