Her program için internet erişimi nasıl kontrol edilir?

Hangi programın internete bağlanabileceğini kontrol etmek için bir yazılım kullanmak istiyorum. Bu davranışın "güvenlik duvarı" kelimesiyle ilişkili olduğunu biliyorum, ancak birileri Kişisel Güvenlik Duvarı isterse bazı Linux kullanıcıları çok üzgündür. Böyle bir program talep ederek sizi üzmek istemiyorum.
"Bağlantı noktalarını güvenli hale getirmek" veya Kişisel Güvenlik Duvarı'nın Windows'ta vaat ettiği diğer şeyleri istemiyorum. Baktım iptablesama gereksinimlerime uymuyor.

Burada mükemmel bir cevap gördüm ( "Şarap uygulamaları için internet erişimini nasıl engelleyebilirim" ) ama bunu ayarlamak çok rahatsız edici.

Her program için internete erişip erişemediğini soran bir yazılım var mı?

Bir yoktur Perl komut (Almanca Ubuntu forumu İngilizce'ye Google çevrilmiştir bunu görünüyor). Hiç denemedim ve senaryoya daha yakından bakmadım, ama belki sizin için işe yarar. Açıklama yalnızca Almancadır, bu nedenle bir çeviri hizmetine ihtiyacınız olabilir (Google Translate gibi; yukarıya bakın).

Hala bu tür bir uygulama arıyorsanız, şu anda tam olarak bu uygulamayı geliştiriyorum: http://douaneapp.com/ https://gitlab.com/douaneapp/Douane

Uygulamam bilinmeyen uygulamaları engelliyor (yetkili bir uygulamanın yeni sürümleri engellenmiş) ve trafiğine İzin Ver veya İzin Verme seçeneğini soruyor.

Web sitesine bir göz atın ;-)

Ben buldum sorunu çözer uygun bir çözüm. İnterneti kullanmasına asla izin verilmeyen ve programı bu grubun bir üyesi olarak başlatan bir grup oluşturursunuz.

1. Bir grup oluşturun no-internet. Do not Bu gruba katılmak

   sudo addgroup no-internet
   

2. Gruba ait tüm işlemlerin no-internetağı kullanmasını engelleyen iptables'a bir kural ekleyin ( ip6tablesIPv6 trafiğini de önlemek için kullanın )

   sudo iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP
   

3. Yürütme sudo -g no-internet YOURCOMMANDyerine YOURCOMMAND.

Kolayca sudo kullanan bir sarmalayıcı komut dosyası yazabilirsiniz. Ekleyerek şifre isteminden kurtulabilirsiniz.

%sudo     ALL=(:no-internet)      NOPASSWD: ALL

veya buna benzer bir şey sudo visudo

Güvenlik duvarı kurallarını sürdürmek için iptables-saveve iptables-restoreöğelerini kullanın .

Ubuntu'da zaten bir güvenlik duvarı var ufw, ancak varsayılan olarak devre dışı bırakıldı. Doğrudan Ubuntu Yazılım Merkezi'nden yüklenebilen komut satırı veya öndeki gufw ile etkinleştirebilir ve kullanabilirsiniz .

İnternet erişimini belirli bir uygulamaya engellemeniz gerekirse , hala beta sürümünde olan ve Ubuntu Yazılım Merkezinde bulunmayan LeopardFlower'ı deneyebilirsiniz :

Bir programın başka bir kullanıcı altında çalıştırılması, o kullanıcı için yapılandırma dosyalarını sizin kullanmanız yerine kullanacaktır.

Güvenlik duvarı kurallarının değiştirilmesini gerektirmeyen ve aynı kullanıcının altında (üzerinden sudo) çalışan bir kullanıcının bulunduğu my_userve çalıştırmak istediğiniz uygulamanın bulunduğu bir çözüm my_app:

# run app without access to internet
sudo unshare -n sudo -u my_user my_app

Daha fazla ayrıntı için man unshareve bu cevaba bakınız .

Linux GUI güvenlik duvarı

Eğer bir GUI güvenlik duvarı arıyorsanız, OpenSnitch ile iyi sonuçlar aldım - henüz ubuntu depolarında yok ve üretim seviyesi olarak adlandırmazdım, ama github sayfasından derleme adımlarını takip etmek benim için çalıştı.

@ psusi: İnsanlara gerçekten kötü davranmalarını ve yararlı bilgi vermemelerini diliyorum. IPTable'lar bunu yapmayı sağlar, bu yüzden "aptalca" olduğunu düşünmezdim. Sadece bir kullanım durumunu anlamadan "HAYIR" demek biraz dar görüşlüdür. http://www.debian-administration.org/article/120/Application_level_firewalling

EDIT bodhi.zazen

NOT - BU SEÇENEĞİ, 2005 YILINDA IPTABLETLERDEN ÇIKTI, BU CEVAP SONRASINDA ÖNCE 8 YIL

SEE - http://www.spinics.net/lists/netfilter/msg49716.html

taahhüt 34b4a4a624bafe089107966a6c56d2a1aca026d4 Yazar: Christoph Hellwig Tarih: Paz 14 Ağustos 17:33:59 2005 -0700

[NETFILTER]: ipt {, 6} sahibindeki görev listesinin_ kötüye kullanımını kaldır

Cmd / sid / pid eşleşmesini yok edilemez kırıldığından ve görev listesindeki_lock değişikliklerini kilitleme şeklinde durduğundan beri ayırın.

Signed-off-by: Christoph Hellwig <hch@xxxxxx>
Signed-off-by: Patrick McHardy <kaber@xxxxxxxxx>
Signed-off-by: David S. Miller <davem@xxxxxxxxxxxxx>

Diğer bir seçenek ise ateşböceği . Uygulamanın ağı görüp görmediğini kontrol ettiğiniz sanal alanın içindeki uygulamayı çalıştırır:

firejail --net=none firefox

Bu komut, Firefox tarayıcısını internet erişimi olmadan başlatacak. Ubuntu deposundaki firejail dağılımının eski olduğunu unutmayın; en son LTS sürümünü firejail ana sayfasından indirin.

Ben yayınlanmıştır çözüm bulduk burada iyi biri olmak. İnternet erişimine izin verilen bir kullanıcı grubu oluşturmayı ve yalnızca bu grup için erişime izin vermek için güvenlik duvarı kurallarını ayarlamayı içerir. Bir uygulamanın internete erişmesinin tek yolu, bu grubun bir üyesi tarafından çalıştırılıyorsa. Bir kabuk açarak bu grubun altındaki programları çalıştırabilirsiniz sudo -g internet -s.

Yukarıda bağladığım yazının içinde ne olduğunu özetlemek için:

1. Aşağıdakileri bir kabuğa yazarak "internet" grubunu oluşturun: sudo groupadd internet

2. Aşağıdaki betiği çalıştıracak kullanıcının sudogruba eklendiğinden emin olun /etc/group. Bu dosyayı değiştirmeyi bitirirseniz, aşağıdaki betiğin çalışabilmesi için oturumu kapatıp tekrar açmanız gerekir.

3. Aşağıdakileri içeren bir komut dosyası oluşturun ve çalıştırın:

   #!/bin/sh
   # Firewall apps - only allow apps run from "internet" group to run
   
   # clear previous rules
   sudo iptables -F
   
   # accept packets for internet group
   sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
   
   # also allow local connections
   sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
   
   # reject packets for other users
   sudo iptables -A OUTPUT -p tcp -j REJECT
   
   # open a shell with internet access
   sudo -g internet -s
   

4. Yukarıdaki betiği çalıştırarak, uygulamaları internet erişimli çalıştırabileceğiniz bir kabuğunuz olacaktır.

Bu komut dosyasının güvenlik duvarı kurallarınızı kaydetmek ve geri yüklemek için hiçbir şey yapmadığını unutmayın. iptables-saveVe iptables-restorekabuk komutlarını kullanmak için komut dosyasını değiştirmek isteyebilirsiniz .

Daha iyisi veya kötüsü için, Linux farklı bir yaklaşım kullanır. Bu işlevi sağlayacak basit bir grafik arayüz yoktur. İnternette bu konuyla ilgili birçok tartışma var ve Google’da arama yaparsanız ilginç tartışmalar bulabilirsiniz. Tartışma ilginç olsa da, bugüne kadar bu işlevselliği yazmak ve sürdürmek isteyen özel bir programcı grubu olmamıştır.

Linux'ta bu işlevselliği sunan araçlar Apparmor, Selinux ve Tomoyo'dur.

Bu araçların hiçbiri öğrenmesi çok kolay değildir ve hepsinin avantaj ve dezavantajları vardır. Şahsen ben SELinux'u tercih ederim, ancak SELinux'un daha dik bir öğrenme eğrisi var.

Görmek:

http://www.linuxbsdos.com/2011/12/06/3-application-level-firewalls-for-linux-distributions/

Leopardflower, zaten referans alınmış bir uygulama vardı. Durumdan / bakımdan emin değilim.

Çekirdek sürüm 2.6.24'e kadar iptables'daydı. 2.x - 2.6.24 bir makineyi kullanıyorsanız ve çekirdeğiniz buna uyduysa, bunu yapabilirsiniz. nedense çıkardılar, yani hayır, microsoft değil. http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html

Leopar Çiçeği deneyin . Bir GUI ve uygulama başına kısıtlamaları vardır.

Hayır, mümkün değil. Ayrıca, güvenlik duvarının geleneksel tanımının bir parçası değildir. Bu, Microsoft'un temelde kırılan işletim sistemi güvenlik sorunları hakkında yazı yazmak için oldukça yakın zamanda ortaya çıktığı bir şeydir. Linux topluluğunda aptalca ve işlenemez kabul edilir çünkü izin verilmeyen bir program basitçe başka bir programı çalıştırabilir ve bu şekilde erişebilir.

Bir programı çalıştırırken ağda ne yaptığını beğenmiyorsanız, o programı çalıştırmayın.