Invite l'utilisateur sur le déni de sécurité Linux

Est-il possible de faire en sorte qu'un module de sécurité Linux (par exemple, AppArmor, SELinux, etc.) invite l'utilisateur, lorsqu'une application souhaite accéder à des fichiers ou dossiers classifiés (signatures numériques, clés SSH, informations de carte de crédit et autres éléments sensibles) au lieu de simplement refuser l'action de l'application, ce qui pourrait être souhaité (par exemple, un client de messagerie souhaitant signer un e-mail à la demande de l'utilisateur).

Il sera avantageux de mettre en place des politiques de sécurité par défaut strictes pour les applications vulnérables (en particulier les navigateurs Web et les clients de messagerie) et de laisser l'utilisateur décider si une action donnée est souhaitée ou non, afin que la vulnérabilité du système puisse être évitée sans aggraver l'utilisateur. la convivialité.

Vous pouvez jeter un œil au sous-système d'audit (et auditd). Il y a cependant du code à écrire pour avoir un système compatible dbus afin d'avoir une popup sur le bureau. Vous pouvez jeter un œil au logiciel mandi, depuis mandriva ( http://wiki.mandriva.com/en/Projects/Interactive_Firewall ).

incronet inotifyvous laisserait faire une action lorsque les fichiers spécifiés sont touchés.

Pour voir cela, installez inotify-toolset exécutez inotifywait -m ~/someFile. Pendant que cela s'exécute dans une fenêtre, modifiez le fichier dans une autre fenêtre. Vous verrez quelque chose comme:

$ inotifywait -m /home/user/Dropbox/.dropbox
Setting up watches.  
Watches established.
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox OPEN 
/home/user/Dropbox/.dropbox MODIFY 
/home/user/Dropbox/.dropbox CLOSE_WRITE,CLOSE 

Ensuite , vous pouvez modifier votre (ou racines) incrontab comme vous modifier votre crontab (ou racines): incrontab -e. Avec l'exemple ci-dessus, vous pouvez ajouter ce qui suit:

/home/user/Dropbox/.dropbox MODIFY /path/to/program/you/want/to/run

Consultez la documentation pour plus d'informations.

Le conseiller FEdora Core 15 SELinux fonctionne en quelque sorte de cette façon (il affiche une fenêtre GUI lorsqu'une faille de sécurité est détectée dans SELinux et conseille des solutions si la tentative est légitime). Comment cela se fait, cependant, je ne sais pas.