В статье "Add an extra layer of security with systrace (http://security.linux.com/article.pl?sid=06/01/16/1933217)" приводится пример ограничения полномочий проблемного с точки зрения безопасности процесса, используя простое и элегантное решение - systrace (http://systrace.org/).

Суть systrace в определении набора ограничений для системных вызовов используемых в подконтрольной программе. Гибкие возможности задания масок для параметров, позволяют, например,  запретить выход за пределы определенной директории или создание исходящих сетевых соединений. Для облегчения формирования блоков правил, программа работая в режиме слежения может сформировать шаблон, включив в него всю зарегистирированную активность по системным вызовам.

Systrace яркий пример, как не прибегая к усложнениям подобным SELinux, создать простое, понятное и эффективное решение.

URL: http://security.linux.com/article.pl?sid=06/01/16/1933217
Новость: http://www.opennet.me/opennews/art.shtml?num=6866

• Изоляция программы средствами Systrace,_Nick_, 17:47 , 26-Янв-06
• Изоляция программы средствами Systrace,pavard, 23:51 , 26-Янв-06

правильно в конце, что упомянут SELinux.

Только вот он не столь уж и сложен, чтобы сравнивать с натягиванием патча systrace от 2.6.1 на 2.6.15 ;)))

статья ни о чем.