В Linux (Debian 10) я хотел бы изолировать программу, запущенную через сценарий оболочки, чтобы она могла открывать соединение только с определенным IP-адресом или хостом, но не с любым другим. Я ищу общее решение, которое также работает со сценарием оболочки, запускающим программу с графическим интерфейсом.
Я знаю пузырчатая пленка инструмент, с его помощью я могу отключить все сети для процесса с --unshare-net
, он создает новое сетевое пространство имен специально для изолированной программы.
Но здесь я хочу внести в белый список один IP-адрес или хост, к которому этой программе разрешено подключаться.
Можно ли это сделать с помощью пузырчатая пленка или пожарная тюрьма?
Debian 10 имеет AppArmor, можно ли с его помощью этого достичь?
Или я подумал об этом, но не знаю, правильное ли это направление, создать нового пользователя, в частности, только запустить определенную программу, когда я вошел в систему как свое обычное имя пользователя в среде рабочего стола, и настроить параметры брандмауэра в Debian для этого конкретного пользователя с настройкой только белого списка?
Буду признателен за помощь в решении этой проблемы.