[Comm] wireguard только для некоторых программ

[Andrey Cherepanov]

userns

14.06.2026 15:24, Andrew G. Klepcha пишет:
>
> Денис, добрый день!
> к сожалению не получилось пока решить проблему предложенным способом :(
> пришел примерно к тем же ограничениям что и раньше -- sg тоже без рута 
> не работает.
> у меня /bin/sg это ссылка на /bin/newgrp, у которого в атрибутах нет 
> прав на запуск никому кроме рута
> я попробовал выставить запуск всем (сделал chmod go+rx /bin/newgrp) но 
> все равно не работает с руганью в логи:
> июн 14 15:13:30 G1 sg[25976]: cannot open login definitions 
> /etc/login.defs [Permission denied]
>
> идти дальше по файлам и расставлять разрешительные атрибуты наверное 
> не совсем правильно
>
> может sg  еще как-то должна быть разрешена к запуску для пользователя?
>
> 13.06.2026 18:58, Elkin Denis пишет:
>> Добрый день.
>> Быть может, проще будет пересмотреть подход и отказаться от netns.
>> Тогда нет необходимости запускать от root.
>> Сделать отдельную таблицу маршрутизации.
>> echo 11 myinetable >> /etc/iproute2/rt_tables
>> Сделать default маршрут через туннель для этой таблицы.
>> ip route add default via tun table myinetable
>> Возможно, добавить маршруты необходимые, типа loopback и local.
>> Сделать отдельную группу пользователей. Скажем, usinetg, себя 
>> добавить в группу.
>> Далее
>> iptables -t mangle -A OUTPUT  -m owner --gid-owner usinetg -j 
>> MARK --set-mark 11
>> ip rule add fwmark 11 lookup myinetable
>> Запускать софт
>> sg usinetg app
>>
>
> _______________________________________________
> community mailing list
> community на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community


-- 
Andrey Cherepanov
cas на altlinux.org
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/community/attachments/20260614/cf9a2656/attachment.html>