Fordert den Benutzer auf, die Linux-Sicherheit zu verweigern

Ist es möglich, ein Linux-Sicherheitsmodul (z. B. AppArmor, SELinux usw.) den Benutzer aufzufordern, wenn eine Anwendung auf klassifizierte Dateien oder Ordner (digitale Signaturen, SSH-Schlüssel, Kreditkarteninformationen und andere vertrauliche Dinge) zugreifen möchte? Ablehnen der Aktion der Anwendung, die gewünscht werden könnte (z. B. ein E-Mail-Client, der auf Anforderung des Benutzers eine E-Mail signieren möchte).

Es ist von Vorteil, strenge Standardsicherheitsrichtlinien für anfällige Anwendungen (insbesondere Webbrowser und E-Mail-Clients) einzurichten und den Benutzer entscheiden zu lassen, ob eine bestimmte Aktion gewünscht wird oder nicht, damit die Anfälligkeit des Systems vermieden werden kann, ohne den Benutzer zu beeinträchtigen. Freundlichkeit.

Sie können sich das Audit-Subsystem (und auditd) ansehen. Es muss jedoch Code geschrieben werden, damit auf einem dbus-fähigen System ein Popup auf dem Desktop angezeigt wird. Sie können sich die mandi-Software von mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ) ansehen .

incronund inotifywürde Sie einige Aktionen ausführen lassen, wenn bestimmte Dateien berührt werden.

Um dies zu sehen, installieren inotify-toolsund ausführen inotifywait -m ~/someFile. Bearbeiten Sie die Datei in einem anderen Fenster, während sie in einem anderen Fenster ausgeführt wird. Du wirst etwas sehen wie:

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.  
Watches established.
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox OPEN 
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

Dann können Sie Ihre (oder Wurzeln) incrontab bearbeiten wie würden Sie Ihre (oder Wurzeln) crontab bearbeiten incrontab -e. Mit dem obigen Beispiel könnten Sie Folgendes hinzufügen:

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

Prüfen Weitere Informationen finden der Dokumentation .

Der SELinux-Advisor von FEdora Core 15 funktioniert auf diese Weise (er öffnet ein GUI-Fenster, wenn in SELinux eine Sicherheitsverletzung festgestellt wird, und rät zu Problemumgehungen, wenn der Versuch berechtigt ist). Wie es gemacht wird, weiß ich allerdings nicht.