Roberto De Ioris представил (http://groups.google.com/group/fa.linux.kernel/msg/f20794140... в списке рассылки разработчиков Linux ядра LSM (http://en.wikipedia.org/wiki/Linux_Security_Modules) модуль UidBind (http://projects.unbit.it/uidbind/) обеспечивающий гибкие настройки доступа для выполнения функции bind(). Например, можно задать uid процесса которому можно выполнять bind() на определенный порт и IP.
Управление работой модуля производится через configfs (http://en.wikipedia.org/wiki/Configfs).URL: http://groups.google.com/group/fa.linux.kernel/msg/f20794140...
Новость: http://www.opennet.me/opennews/art.shtml?num=10599
Комплексное решение вроде grsecurity, имеющее несколько схожую функциональность, представляется более осмысленным.
Сцука, я первый придумал - http://groups.google.ru/group/comp.os.linux.networking/brows...
Вроде SELinux'ом это тоже можно делать.
подскажите пожалуйста, где это бывает неободимо на практике?
на хостинге и там где нужна безопасность. У меня, например, на сервере запрещено все что не разрешено явно. С одной стороны достаточно геморно делать начальную настройку когда появляется новый юзер/сервис,с другой стороны я уже два года спокойно сплю, ни одного абуза, ни одной проблемы с сервером не было. Да еще, если ведуться логи(как в grsec) попыток что-то сделать неправильное то можно сделать какие-либо выводы о пользователях и том ПО что они залили на сервер.
Так и без контроля доступа к объектам файловой системы можно обойтись, но ведь с ней всё становиться более надёжным и предсказуемым. Больший контроль - больший порядок. Что в Unix хорошо так это движение к более строгому администрированию.