Règle de pare-feu pour les utilisateurs locaux et interactifs?

Je souhaite ajouter une règle de pare-feu qui s'applique à un utilisateur interactif local. L'intention est de bloquer la boîte, de n'autoriser que les connexions liées au Web et au courrier et de mettre à jour les connexions de service. À l'occasion, il me faudra ouvrir un navigateur pour rechercher un paramètre et autoriser la connexion sortante lorsque je serai assis au clavier.

le Linux iptables Pocket Reference ne traite pas le sujet.

Question : Est-il possible d'ajouter une règle de pare-feu qui filtre en fonction des objets "utilisateur local" et "utilisateur interactif"?

Vous pouvez filtrer les paquets sortants en fonction de l'identifiant du processus d'origine. Par exemple:

iptables -A OUTPUT -m owner --uid-owner some_user -j DROP

iptables n'est pas en mesure de faire la distinction entre processus interactifs et non interactifs. Mais vous voudrez peut-être regarder dans le CGROUP Linux pour ça. Plus précisément, le sous-système net_cls . Vous pouvez baliser les paquets avec le sous-système net_cls, puis les filtrer avec iptables. Le processus consisterait donc à placer d'abord le shell de l'utilisateur interactif dans un groupe de contrôle net_cls qui étiquette les paquets sortants, puis à filtrer ces paquets avec iptables.