プロセスが特定のサブプロセスを開始するのをブロック/許可します。

プロセスが特定のサブプロセスを開始するのをブロック/許可します。

私はiptablesを使用して、子供のLinuxアカウントからすべてのインターネットトラフィックをブロックします。時々私は彼らが1つまたは別のプログラムを使用したいと思います。この場合、sudoersを介して他の(無制限)ユーザーとしてプログラムを実行できるようにします。今回はズーム機能を使ってみました。ここで述べたように効果がありました。問題は、Zoomがブラウザを無制限のユーザーとして実行しているため(「ヘルプ」をクリックした後など)、完全な方法が完全に役に立たなくなることです。

ユーザーがkiddy実行のみを制限し、sudo -u daddy /usr/bin/zoomブラウザ(およびサブプロセスまで)が起動しないようにする方法はありますか?

答え1

制限を設定して、プロセスが子プロセスに分岐するのを防ぎますRLIMIT_NPROC。たとえば、次のようになりますzsh

#! /bin/zsh -
limit -h maxproc 0
exec zoom "$@"

aを設定して起動し、zoom子をフォークするのを防ぎます。硬い最大プロセス数を制限します。

具体的には言えませんが、zoomアプリケーションによっては、通常の操作の一部としてサブキーを分岐する可能性があるため、機能しない可能性があります。また、firefox同じプロセスで引き続き実行できます。プロセスの分岐とコマンドの実行には2つの異なる方法があります。これは、実行中のプロセスをこのスクリプト内で実行できるzsh方法です。zoom

関連情報