Как запретить запись на диск для определенных программ в Linux?

Question

[Damian Lewis]

Здравствуйте! Вопрос собственно в заголовке. Можно ли такое сделать? Например, возьмем для примера типичный образ *.AppImage. Он после запуска кеширует данные в cache, а настройки в config. Пробовал лишать образ прав на запись, но после запуска он все равно создает файлы в различных папках. Образ *.AppImage привел чисто для примера. Это может быть запуск любой программы.

Answer 1

[ge]

Вы можете ограничить юзера, от имени которого запускается программа. Ограничения для самих программ реализуются в контейнерах, например, такая возможность есть во Flatpack https://askubuntu.com/questions/1086529/how-to-giv...

Comments

[Damian Lewis]

Насчет ограничений для юзера, можно чуть по подробнее

[ge]

Damian Lewis, как простой вариант вы можете передать директории, которые в не хотите записывать данные другому пользователю (chown), например, root и также установить на неё права 700 (или можно даже одними правами ограничиться). Тогда ваш юзер без привелегий не сможет ничего туда записать. Такой подход весьма геморойный, + можно сломать что-нибудь. Лучше посмотрите на контейнеры. В тот же Flatpack много чего упаковано, на худой конец можно самостоятельно упаковать приложение.

Какая вообще цель в том, чтобы не давать приложению писать конфиги и кэш? Оно же вряд ли будет работать корректно.

[Damian Lewis]

gd, Насчет полного лишения прав на файлы/каталоги есть более уместный вариант вместо chown. Наз-ся chattr. Лишает полного доступа на всё даже для root. Просто искал вариант чтобы файлы вообще не создавались. Насчет *.AppImage я дважды написал, что это просто пример. Чисто для упрошения задачи. Лишать его прав на запись я не собираюсь. Это может быть к примеру запрет на сохранения файлов для офисной программы, менеджера заметок, чтобы новые записи не создавал. По сути замораживается весь процесс на какие либо изменения для определенной программы, если у него не будет возможности записи на диск.

[Валентин]

А зачем тут контейнер? Приложение от конкретного пользователя запускать умеет сама система, и поэтому и в контейнере это работает. Контейнеры не дают никаких фич, которых нет без них, контейнер это просто слой изоляции. Ну вот как вы можете взять вещь и положить в пакет, и в общем-то ниче не изменится - также сможете её перекладывать, хранить и т.п.

[Damian Lewis]

Контейнеры не дают никаких фич, которых нет без них

Ну в общем-то дают довольно неплохой функционал для ограничения конкретных прав доступа в рамках работы программы в контейнере. У того же flatpack есть подобный функционал. Более того, есть неплохой менеджер для flatpack программ который наз-ся Flatseal. Вот здесь можете глянуть на скриншотах.

Скрин

P.S. Сам лично не пользуюсь snap или flatpack

Answer 2

[Алексей Черемисин]

Да можно. В разных дистрибутива могут работать немного различающиеся механизмы контроля доступа selinux (redhat и основанные на нем) и AppArmor (debian, Ubuntu и соплеменики). С другой стороны, все реализуется почти на одних и тех же механизмах ядра.
Есть ещё отдельно castle grade Linux на rbacl от АНБ.

Comments

[Damian Lewis]

Понятно. Буду копать в сторону этих программ. Немного слышал про AppArmor. Говорят, довольно сложно его настраивать.

[Алексей Черемисин]

Damian Lewis, selinux труднее https://habr.com/ru/company/ruvds/blog/532988/

Answer 3

[Станислав Бодро́в]

Selinux