Linux：允许/限制用户的 IP 绑定权限

Question

我不会详细介绍如何设置 SELinux 或如何创建 SELinux 策略。这可能是熟悉 SELinux 的一个很好的起点。

要解决 SELinux 的问题，请尝试以下操作：

为要限制的网络接口分配类型

# Assign a type to the whole interface
semanage interface -a -t foo_netif_t eth2

为通过接口的流量分配标签

netlabelctl unlbl add interface:eth2 address:0.0.0.0/0 label:system_u:object_r:foo_peer_t:s0
netlabelctl unlbl add interface:eth2 address:::/0 label:system_u:object_r:foo_peer_t:s0

此示例将类型分配foo_peer_t给所有 IPv4 和 IPv6 流量。

添加规则以允许数据包流动

交通进入

allow user_t foo_netif_t:netif ingress;
allow user_t foo_peer_t:node recvfrom;

交通离开

allow user_t foo_netif_t:netif egress;
allow user_t foo_peer_t:node sendto;

user_t用您想要限制的用户指定的类型替换。

参考：

Answer 1

我不会详细介绍如何设置 SELinux 或如何创建 SELinux 策略。这可能是熟悉 SELinux 的一个很好的起点。

要解决 SELinux 的问题，请尝试以下操作：

为要限制的网络接口分配类型

# Assign a type to the whole interface
semanage interface -a -t foo_netif_t eth2

为通过接口的流量分配标签

netlabelctl unlbl add interface:eth2 address:0.0.0.0/0 label:system_u:object_r:foo_peer_t:s0
netlabelctl unlbl add interface:eth2 address:::/0 label:system_u:object_r:foo_peer_t:s0

此示例将类型分配foo_peer_t给所有 IPv4 和 IPv6 流量。

添加规则以允许数据包流动

交通进入

allow user_t foo_netif_t:netif ingress;
allow user_t foo_peer_t:node recvfrom;

交通离开

allow user_t foo_netif_t:netif egress;
allow user_t foo_peer_t:node sendto;

user_t用您想要限制的用户指定的类型替换。

参考：

Linux：允许/限制用户的 IP 绑定权限

答案1

相关内容