Linux: Dự trữ cổng loopback cho người dùng không có xác thực. Điều này có thể không?

Tôi muốn người dùng bắt đầu quá trình nghe trên cổng trên giao diện loopback là người dùng duy nhất có thể kết nối với cổng này. Đặt cổng. Không có chứng thực.

Tôi muốn những người dùng khác có thể làm điều tương tự trên bất kỳ cổng loopback nào có sẵn.

Có cơ chế nào như selinux hoặc apparmor có khả năng đạt được điều này không?

[CHỈNH SỬA] Chỉ cần làm rõ, kịch bản là cntlm trên máy nhiều người dùng. Mỗi người dùng đang sử dụng cntlm để xác thực với proxy có thông tin xác thực của riêng họ tới một cổng duy nhất trên giao diện loopback. Tôi đang cố gắng tìm cách tách biệt điều này để người dùng không thể kết nối bằng kết nối proxy của nhau.

Nếu theo vòng lặp, bạn có nghĩa là chỉ kết nối mạng với máy chủ cục bộ, hãy xem xét Ổ cắm AF_UNIX. Ổ cắm tên miền AKA UNIX. AKA theo cách không phải IP mà bạn có thể kết nối với cơ sở dữ liệu PostgreSQL hoặc MySQL.

Trên Linux, điều này có lợi thế là tôn trọng quyền truy cập tệp. Nếu không ghi vào ổ cắm với tư cách là người dùng của bạn, nó sẽ không hoạt động. Có thể, hành vi này không được chuẩn hóa.

Mạng IP không mang ID người dùng hệ điều hành của người đã tạo gói. Có thể trong quy tắc tường lửa nftables, bạn có thể lọc trên uid, nhưng chỉ trong tường lửa máy chủ, đối với ổ cắm cục bộ. Tốt hơn sẽ là một số giao thức xác thực.

Iptables thực hiện chính xác những gì tôi muốn làm. Đây là một ví dụ về iptables mà tôi đã thử nghiệm và hoạt động. Tôi chỉ cần viết một trình bao bọc để kẹp lệnh cntlm trong các lệnh iptables. Tôi có thể gọi nó là bữa trưa.sh

# Để dành cổng 7777 trên lo cho người dùng "foo"
iptables -I OUTPUT -o lo -p tcp --dport 7777 -j DROP
iptables -I OUTPUT -o lo -p tcp --dport 7777 --match-owner --uid-owner foo -j CHẤP NHẬN

# Để giải phóng cổng 
iptables -D OUTPUT -o lo -p tcp --dport 7777 -j DROP
iptables -D OUTPUT -o lo -p tcp --dport 7777 --match-owner --uid-owner foo -j CHẤP NHẬN