Запрошення користувача на відмову в безпеці Linux

Чи можливо зробити модуль захисту Linux (наприклад, AppArmor, SELinux тощо) підказувати користувачеві, коли програма хоче отримати доступ до класифікованих файлів або папок (цифрові підписи, SSH-ключі, дані кредитної картки та інші чутливі речі) замість просто відхилення дії програми, чого можна бажати (наприклад, клієнт електронної пошти, який хоче підписати електронну пошту на запит користувача).

Буде корисно встановити сувору політику безпеки за замовчуванням для вразливих додатків (особливо веб-браузерів та електронних клієнтів) і дозволити користувачеві вирішувати, бажана чи певна дія чи ні, тому вразливості системи можна уникнути, не погіршуючи користувача, дружелюбність.

Ви можете подивитися на підсистему аудиту (та аудит). Однак є якийсь код для запису системи, що підтримує dbus, щоб мати спливаюче вікно на робочому столі. Ви можете подивитися на програмне забезпечення mandi від mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ).

incronі inotifyдозволить вам здійснити певні дії, коли торкнуться вказаних файлів.

Щоб побачити це, встановіть inotify-toolsі запустіть inotifywait -m ~/someFile. Поки це працює в одному вікні, відредагуйте файл в іншому вікні. Ви побачите щось на кшталт:

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.  
Watches established.
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox OPEN 
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

Після цього ви можете відредагувати (або коріння) incrontab так само , як ви б змінити (або коріння) кронтаб: incrontab -e. За допомогою наведеного вище прикладу ви можете додати наступне:

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

Перегляньте документацію для отримання додаткової інформації.

Таким чином працює радник FEdora Core 15 SELinux (він спливає вікно GUI, коли в SELinux виявлено порушення безпеки, і радить обхідні шляхи, якщо спроба є законною). Як це робиться, хоча, я не знаю.