Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Какой лучший способ заблокировать доступ в сеть приложениям?  (Прочитано 567 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Trevar

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
Подскажите пожалуйста, какой наилучший способ "перекрыть воздух" приложению? Допустим я скачал калькулятор. И мне этот калькулятор нужен только чтобы считать, а не чтобы он лазил по интернетам сливая неизвестно что в гугл, амазон и ещё чёрт знает куда (а подобные вещи происходят, и настройки тут не всегда помогут - факт).

Как лишить приложения возможности лазить в интернет? Я понимаю так нужен файрволл какой-то, который заблокирует порты ему? Может в Ubuntu уже есть какие-то встроенные возможности, консольные комманды которые это могут сделать? В идеале вообще создать белый список из того, что может выходить в интернет, остальное ПО - лесом. Главное чтобы это не помешало самой системе обновяться и получать доступ к репозиториям.

Спасибо.

ТС не появлялся на Форуме более полугода по состоянию на 21/11/2019 (последняя явка: 15/04/2019). Модератором раздела принято решение закрыть тему.
--zg_nico
« Последнее редактирование: 21 Ноябрь 2019, 17:45:09 от zg_nico »

Оффлайн edyan

  • Новичок
  • *
  • Сообщений: 12
    • Просмотр профиля
почитай про /etc/hosts.allow и /etc/hosts.deny

UPDATE: нет, этим можно запретить внешние соединения к службам (например ftp), но не когда программа сама инициирует соединение.
« Последнее редактирование: 08 Февраль 2017, 12:49:45 от edyan »

Оффлайн Trevar

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
нет, этим можно запретить внешние соединения к службам (например ftp), но не когда программа сама инициирует соединение.
Тогда не подходит, ибо как раз в том и дело что программы инициируют соедиенения причём по самым разным протоколам и неизвестно каким портам и адресам.
« Последнее редактирование: 08 Февраль 2017, 13:53:15 от Trevar »

Оффлайн izobara

  • Новичок
  • *
  • Сообщений: 22
  • Every day is sysadmin day!
    • Просмотр профиля
iptables в режим "Параноик" и все.  ;D
Оставить только нужные порты и все. Это будет самый надежный способ  ;)

Punko

  • Гость
Я понимаю так нужен файрволл какой-то, который заблокирует порты ему? Может в Ubuntu уже есть какие-то встроенные возможности, консольные комманды которые это могут сделать? В идеале вообще создать белый список из того, что может выходить в интернет, остальное ПО - лесом
Правильно понимаете.
Как уже сказали:
iptables в режим "Параноик" и все.  ;D
Оставить только нужные порты и все. Это будет самый надежный способ  ;)
ставите политики в drop для всех, кроме нескольких портов.
минимум 80, 443 порты - НTTP\HTTPS чтоб ходил.

Почитать можно здесь:

https://ru.wikibooks.org/wiki/Iptables

Оффлайн archuser

  • Активист
  • *
  • Сообщений: 588
    • Просмотр профиля
Punko, А если приложение как раз таки будет сливать всю инфу по 80-ому порту на неопределенные ip-адреса? Может лучше для этих целей использовать SELinux или AppArmor? Как считаете?

Punko

  • Гость
archuser, лучше - совместить.
Я не знаю за AppArmor, но СеЛинух для дефолтных, известных приложений работает корректно и сам по себе не пустит какую-то бяку.
Он иногда и НЕ бяку не пропускает.

Оффлайн ConnaiSSant

  • Активист
  • *
  • Сообщений: 458
    • Просмотр профиля
Punko, А если приложение как раз таки будет сливать всю инфу по 80-ому порту на неопределенные ip-адреса? Может лучше для этих целей использовать SELinux или AppArmor? Как считаете?

всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.

UPD/// Selinux хорош, но кажется, что в вашем случае он не подойдет.

Оффлайн archuser

  • Активист
  • *
  • Сообщений: 588
    • Просмотр профиля
всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.
Поделитесь знаниями, как Вы в рамках задачи ТС "перекроете воздух" приложению с помощью "стандартной системы контроля доступа"?

Оффлайн ConnaiSSant

  • Активист
  • *
  • Сообщений: 458
    • Просмотр профиля
всегда хватало стандартной системы контроля доступа. Не знаю, чем вам сможет помочь selinux в данном случае.
Поделитесь знаниями, как Вы в рамках задачи ТС "перекроете воздух" приложению с помощью "стандартной системы контроля доступа"?

Никак. Тем более, я не предлагал использовать ссдк. А вы предлагаете использовать selinux, с помощью которого не удасться решить нужды ТС.

Пользователь добавил сообщение 13 Февраль 2017, 13:58:54:
Подскажите пожалуйста


https://m.habrahabr.ru/post/82933/

Пользователь добавил сообщение 13 Февраль 2017, 14:02:17:
А может быть и удасться с selinux. Вот, что нарыл:

https://m.habrahabr.ru/company/1cloud/blog/309696/
« Последнее редактирование: 13 Февраль 2017, 14:03:17 от ConnaiSSant »

Оффлайн Trevar

  • Автор темы
  • Любитель
  • *
  • Сообщений: 50
    • Просмотр профиля
минимум 80, 443 порты - НTTP\HTTPS чтоб ходил.
А если нужно чтобы работал мессенджер, vpn, ssh, торренты, apt-get/apt/ubuntu softwre, и в терминале host/dig/whois и т.д.?
И ещё, не совсем ясно по поводу iptables написано что прога для управления ipv4 ip6 / nat. А что по поводу других протоколов? Их сейчас тьма.
« Последнее редактирование: 13 Февраль 2017, 14:07:49 от Trevar »

Punko

  • Гость
А что по поводу других протоколов? Их сейчас тьма.
Вот тут подробнее.
А если нужно чтобы работал мессенджер, vpn, ssh, торренты, apt-get/apt/ubuntu softwre, и в терминале host/dig/whois и т.д.?

Я ж не зря написал, что минимум.
apt использует 80/443, насколько я знаю.
Для нужных приложения колупаете ход и всё.
Добавляете по мере необходимости (53, 22, етс)

 

Страница сгенерирована за 0.175 секунд. Запросов: 22.