私はiptablesを使用して、子供のLinuxアカウントからすべてのインターネットトラフィックをブロックします。時々私は彼らが1つまたは別のプログラムを使用したいと思います。この場合、sudoersを介して他の(無制限)ユーザーとしてプログラムを実行できるようにします。今回はズーム機能を使ってみました。ここで述べたように効果がありました。問題は、Zoomがブラウザを無制限のユーザーとして実行しているため(「ヘルプ」をクリックした後など)、完全な方法が完全に役に立たなくなることです。
ユーザーがkiddy
実行のみを制限し、sudo -u daddy /usr/bin/zoom
ブラウザ(およびサブプロセスまで)が起動しないようにする方法はありますか?
答え1
制限を設定して、プロセスが子プロセスに分岐するのを防ぎますRLIMIT_NPROC
。たとえば、次のようになりますzsh
。
#! /bin/zsh -
limit -h maxproc 0
exec zoom "$@"
aを設定して起動し、zoom
子をフォークするのを防ぎます。硬い最大プロセス数を制限します。
具体的には言えませんが、zoom
アプリケーションによっては、通常の操作の一部としてサブキーを分岐する可能性があるため、機能しない可能性があります。また、firefox
同じプロセスで引き続き実行できます。プロセスの分岐とコマンドの実行には2つの異なる方法があります。これは、実行中のプロセスをこのスクリプト内で実行できるzsh
方法です。zoom