Существует ли application layer firewall (контроль над отдельными приложениями) под *nix ?
» firewall
DarkAir
да.
AppArmror от Novell (SuSE)
а в Солярке возможен полный контроль - память, проц, квоты... всё в общем
да.
AppArmror от Novell (SuSE)
а в Солярке возможен полный контроль - память, проц, квоты... всё в общем
sda00
Почитал про sel и apparmor, насколько я понял это дополнительные модули для ядра ос, обеспечивающие разграничение ресурсов системы в целом. На сайте novell в сравнении
написано что sel не может работать с частью проприетарного ПО из-за закрытости интерфейсов.
Сам apparmor насколько видно из документов работает только с отдельными указанными
процессами, а не контролирует все ресурсы, тем более он не заточен под решение задач
контроля доступа в интернет. Информации вообще мало, есть какой-либо опыт использования
именно для этих целей? Флаги tcp можно через неё контролировать?
Хотелось бы решить задачу на подобии такой:
приложение 1 может получать/отправлять по tcp 80 данные по всем адресам
приложение 2 может получать/отправлять по tcp/udp >1000 данные по ряду адресов, но порт 80
использовать не может
приложение 3 может получать/отправлять по tcp 80 данные только по заданным адресам
всем остальным приложениям доступ в интернет запрещён
Реально реализовать под linux такую схему работы?
Почитал про sel и apparmor, насколько я понял это дополнительные модули для ядра ос, обеспечивающие разграничение ресурсов системы в целом. На сайте novell в сравнении
написано что sel не может работать с частью проприетарного ПО из-за закрытости интерфейсов.
Сам apparmor насколько видно из документов работает только с отдельными указанными
процессами, а не контролирует все ресурсы, тем более он не заточен под решение задач
контроля доступа в интернет. Информации вообще мало, есть какой-либо опыт использования
именно для этих целей? Флаги tcp можно через неё контролировать?
Хотелось бы решить задачу на подобии такой:
приложение 1 может получать/отправлять по tcp 80 данные по всем адресам
приложение 2 может получать/отправлять по tcp/udp >1000 данные по ряду адресов, но порт 80
использовать не может
приложение 3 может получать/отправлять по tcp 80 данные только по заданным адресам
всем остальным приложениям доступ в интернет запрещён
Реально реализовать под linux такую схему работы?
DarkAir
UID/GID не подойдёт?
насчёт linux незнаю, но думаю что умеет, а вот во freebsd
ipfw add 100 allow ip from any to any uid root
UID/GID не подойдёт?
насчёт linux незнаю, но думаю что умеет, а вот во freebsd
ipfw add 100 allow ip from any to any uid root
опишите конкретно: что, зачем и как вы хотите "файрволить".
keyhell
Для приложений которым я считаю нужным дать в доступ в интернет, прописать конкретно по каким портам на какой диапазон можно отправлять/получать данные (для каждого отдельно, диапазоны могут пересекаться), всё остальное блокировать, что подробно расписывать то? Нигде невижу в
справке к iptables привязки к uid/gid, так ведь наверное потому что ip tables
Слабая защита получается, предполагает использование рабочей среды с недоверенными приложениями а не
как cервер.
Для приложений которым я считаю нужным дать в доступ в интернет, прописать конкретно по каким портам на какой диапазон можно отправлять/получать данные (для каждого отдельно, диапазоны могут пересекаться), всё остальное блокировать, что подробно расписывать то? Нигде невижу в
справке к iptables привязки к uid/gid, так ведь наверное потому что ip tables
Слабая защита получается, предполагает использование рабочей среды с недоверенными приложениями а не как cервер.
DarkAir
--uid-owner userid
Matches if the packet was created by a process with the given
effective user id.
--gid-owner groupid
Matches if the packet was created by a process with the given
effective group id.
--pid-owner processid
Matches if the packet was created by a process with the given
process id.
--sid-owner sessionid
Matches if the packet was created by a process in the given ses-
sion group.
--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)
--uid-owner userid
Matches if the packet was created by a process with the given
effective user id.
--gid-owner groupid
Matches if the packet was created by a process with the given
effective group id.
--pid-owner processid
Matches if the packet was created by a process with the given
process id.
--sid-owner sessionid
Matches if the packet was created by a process in the given ses-
sion group.
--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)
ZaqwrKos
спасибо, сразу не увидел. Нет не подойдет, нужен не контроль по пользователям а по приложениям
pid я не представляю как можно использовать он ведь всё время изменяется.
спасибо, сразу не увидел. Нет не подойдет, нужен не контроль по пользователям а по приложениям
pid я не представляю как можно использовать он ведь всё время изменяется.
DarkAir
Цитата:
а это простите что? ядро кстати, скорее всего придётся пересобрать
Цитата:
--cmd-owner name
Matches if the packet was created by a process with the given
command name. (this option is present only if iptables was com-
piled under a kernel supporting this feature)
а это простите что? ядро кстати, скорее всего придётся пересобрать
ZaqwrKos
Цитата:
Цитата:
как smp считать?
почитат еще сейчас http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих
вроде нашел что искал, получает что через модули iptables итак может как бы работать на уровне
приложений. Только -cmd-owner действует на исходящие соединения, а что делать с
входящими? Если нужно чтобы приложение принимало только входящие соединения с
заданных портов?
icmp ping не имеет владельца, как тогда последним правилам задать block all так чтобы при этом
можно было пинговать всех;)?
Добавлено:
Странно, linux вроде как сетевая ось, а технологии файрволлинга от виндовых уже сильно отстали,
в 90-х ещё можно было только по портам и адресам резать, тогда это не так актуально было.
Цитата:
ядро кстати, скорее всего придётся пересобратьэто не страшно, страшно другое
Цитата:
pid, sid and command matching are broken on SMP, у меня Athlon 64 x2 5200 она его будте
как smp считать?
почитат еще сейчас http://ru.gentoo-wiki.com/Настройка_iptables_для_начинающих
вроде нашел что искал, получает что через модули iptables итак может как бы работать на уровне
приложений. Только -cmd-owner действует на исходящие соединения, а что делать с
входящими? Если нужно чтобы приложение принимало только входящие соединения с
заданных портов?
icmp ping не имеет владельца, как тогда последним правилам задать block all так чтобы при этом
можно было пинговать всех;)?
Добавлено:
Странно, linux вроде как сетевая ось, а технологии файрволлинга от виндовых уже сильно отстали,
в 90-х ещё можно было только по портам и адресам резать, тогда это не так актуально было.
DarkAir
расскажите лучше про ваши цели, как вас уже спрашивал keyhell , IMXO можно запустить аналогичный процесс другим юзером с такимже названием, вас это не беспокоит?
расскажите лучше про ваши цели, как вас уже спрашивал keyhell , IMXO можно запустить аналогичный процесс другим юзером с такимже названием, вас это не беспокоит?
ZaqwrKos
Цель: реализация принципа минимальных привилегий, чтобы для каждого приложения прописать
разрешить пересылку данных только по тем портам/адресам/протоколам по которым они в теории
и должны работать. Тогда любое отклонение от нормы (использование браузером дополнительных
портов (как на форуме хакер.ru например)) сразу же будет видно. Так можно быстро обнаружить
отсылку данных приложением не туда куда надо, любой троян, вирь и т.п. Создается не сервер
с заданным набором ПО а рабочая среда для которой не применимо в полном смысле понятие trusted
environment, предполагается наличие ряда приложений которые могут производить нежелательную
деятельность (т. п. проверка ключей, обновление, сгрузка рекламы и т.д.). Под linux сейчас это
пока ещё мало актуально, но количество проприетарного по растет (касперский, vmware...)
и всякая зараза с популярностью платформы переползает и сюда. Видел тут в соседнем треде
говорят что под линуксом приложения сами без спроса никуда не лазят - имхо гон за обновлениями
еще как лазят, итак уже mandriva как вторая винда, 3d меюшки, всякая гадость. Под виндой есть возможность хоть как-то защитится от этого, а тут вообще голый беззащитный совсем сидишь
Смысл в контроле ВСЕХ приложений.
Цель: реализация принципа минимальных привилегий, чтобы для каждого приложения прописать
разрешить пересылку данных только по тем портам/адресам/протоколам по которым они в теории
и должны работать. Тогда любое отклонение от нормы (использование браузером дополнительных
портов (как на форуме хакер.ru например)) сразу же будет видно. Так можно быстро обнаружить
отсылку данных приложением не туда куда надо, любой троян, вирь и т.п. Создается не сервер
с заданным набором ПО а рабочая среда для которой не применимо в полном смысле понятие trusted
environment, предполагается наличие ряда приложений которые могут производить нежелательную
деятельность (т. п. проверка ключей, обновление, сгрузка рекламы и т.д.). Под linux сейчас это
пока ещё мало актуально, но количество проприетарного по растет (касперский, vmware...)
и всякая зараза с популярностью платформы переползает и сюда. Видел тут в соседнем треде
говорят что под линуксом приложения сами без спроса никуда не лазят - имхо гон за обновлениями
еще как лазят, итак уже mandriva как вторая винда, 3d меюшки, всякая гадость. Под виндой есть возможность хоть как-то защитится от этого, а тут вообще голый беззащитный совсем сидишь
Смысл в контроле ВСЕХ приложений.
DarkAir
AppArmor + конфиги софта из trusted environment. Реально. Но Ваш подход, как бы это так сказать, слишком M$-вый что ли...
Цитата:
да. именно. если лезут - то в терминах LOR-а: недобыдлоадминен кляйне дейч зольдатен делать квадратиш и практиш топливо для фтопка
Цитата:
а вот это и есть первое ощущение вендоадминен, пришедшего в *nix. Ибо основная угроза здесь - это неправильно сконфигурированные запущенные сервисы (...админен...) + rootkit (...админен...) + ессно iptables....
Цитата:
Решение: вобор соответствующих приложений и их конфигурация + правильная конфигурация юзеров и групп для Вашей рабочей (хм) среды.
AppArmor + конфиги софта из trusted environment. Реально. Но Ваш подход, как бы это так сказать, слишком M$-вый что ли...
Цитата:
Видел тут в соседнем треде говорят что под линуксом приложения сами без спроса никуда не лазят
да. именно. если лезут - то в терминах LOR-а: недобыдлоадминен кляйне дейч зольдатен делать квадратиш и практиш топливо для фтопка
Цитата:
Под виндой есть возможность хоть как-то защитится от этого, а тут вообще голый беззащитный совсем сидишь
а вот это и есть первое ощущение вендоадминен, пришедшего в *nix. Ибо основная угроза здесь - это неправильно сконфигурированные запущенные сервисы (...админен...) + rootkit (...админен...) + ессно iptables....
Цитата:
Цель: реализация принципа минимальных привилегий, чтобы для каждого приложения прописать
разрешить пересылку данных только по тем портам/адресам/протоколам по которым они в теории
и должны работать.
Решение: вобор соответствующих приложений и их конфигурация + правильная конфигурация юзеров и групп для Вашей рабочей (хм) среды.
sda00
Цитата:
Цитата:
Цитата:
Цитата:
страницы с сылками на продукт пустые http://forge.novell.com/modules/xfcontent/downloads.php/apparmor/Development/
Цитата:
Цитата:
в определенной мере лучшую реализацию, как-то не мог предвидеть что тут возникнут
проблемы.
Защита - это мера комплексная, текущее решение мне эту комплексность реализовать не дает.
Пока читатл и смотрел всё тут для себя сделал вывод, что под linux сейчас нет вменяемого
контроля над трафиком приложений. Линксойды тут разводят воду лишь бы перед виндой куцо
не выглядеть.
Цитата:
вендоадминен- извините не моя профессия, только для себя по необходимости интересуюсь
Цитата:
основная угроза- я и не отрицаю что основная угроза в другом, мои преведущий пост почитайте
Цитата:
AppArmor + конфиги софта из trusted environment- вопервых novell, во-вторых
Цитата:
не контролирует все ресурсыв третьих ещё очень сыро и не достаточно проверено, на самом сайте novella идут
страницы с сылками на продукт пустые http://forge.novell.com/modules/xfcontent/downloads.php/apparmor/Development/
Цитата:
Решение: вобор соответствующих приложений- преведущий пост невидно ?
Цитата:
слишком M$-вый- это уже какие-то религиозные войны, под другой платформой видел
в определенной мере лучшую реализацию, как-то не мог предвидеть что тут возникнут
проблемы.
Защита - это мера комплексная, текущее решение мне эту комплексность реализовать не дает.
Пока читатл и смотрел всё тут для себя сделал вывод, что под linux сейчас нет вменяемого
контроля над трафиком приложений. Линксойды тут разводят воду лишь бы перед виндой куцо
не выглядеть.
DarkAir,
я не буду с вами спорить и убеждать в чем-то.
в Linux/UNIX есть механизмы, которые в полной мере позволяют контролировать приложения. механизмы эти, в силу прозрачности реализации всего, что касается привилегий, намного более простые и прозрачные чем в MS Windows/DOS/ или с чем вам угодно сравнивать.
честно говоря, вот это описание от вас меня несколько насторожило:
Цитата:
в купе с вопросом о том, как это сделать - это чистейшей воды непонимание того, как работают современные файрволлы.
увы, но для того, чтобы сделать то, что вы хотите (да и вообще все, что угодно!) на UNIX, надо читать и изучать систему.
а у ж механизмов различных "защит" тут море: начиная от простейшего контроля по ID (uid, euid, suid, ... ) до MAC. Один из лучших файрволлов pf есть в OpenBSD и FreeBSD. Chroot, Jail, etc.
короче говоря, вам будет проще на винде, ибо читать как видно, вы не пробовали.
я не буду с вами спорить и убеждать в чем-то.
в Linux/UNIX есть механизмы, которые в полной мере позволяют контролировать приложения. механизмы эти, в силу прозрачности реализации всего, что касается привилегий, намного более простые и прозрачные чем в MS Windows/DOS/ или с чем вам угодно сравнивать.
честно говоря, вот это описание от вас меня несколько насторожило:
Цитата:
Хотелось бы решить задачу на подобии такой:
приложение 1 может получать/отправлять по tcp 80 данные по всем адресам
приложение 2 может получать/отправлять по tcp/udp >1000 данные по ряду адресов, но порт 80
использовать не может
приложение 3 может получать/отправлять по tcp 80 данные только по заданным адресам
всем остальным приложениям доступ в интернет запрещён
в купе с вопросом о том, как это сделать - это чистейшей воды непонимание того, как работают современные файрволлы.
увы, но для того, чтобы сделать то, что вы хотите (да и вообще все, что угодно!) на UNIX, надо читать и изучать систему.
а у ж механизмов различных "защит" тут море: начиная от простейшего контроля по ID (uid, euid, suid, ... ) до MAC. Один из лучших файрволлов pf есть в OpenBSD и FreeBSD. Chroot, Jail, etc.
короче говоря, вам будет проще на винде, ибо читать как видно, вы не пробовали.
keyhell
Цитата:
Цитата:
современных файрволов от преведущих поколений
Цитата:
Цитата:
небыло бы никаких "споров", что действительно за такие безимянные механизмы?
Цитата:
в постановке заданий. Приведите кстати правильную постановку для данной задачи, или сама
задача какая-то нетакая? не имеет права на существование?
Цитата:
или указать, чем писать ваш пост?
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
вы бы хоть имена этих механизмов привели что-ли, а то как я в google их искать то буду? (кстати
это случаем не механизм gcc ), пока что по запросам к тому же google у меня сложилось ощущение
что большинство линуксоидов про файрволл вообще ничего незнают и никогда им не пользовались.
Перечитывать терабайты всей подряд документации идущей с линух желанием не горю, указали
бы лучше направление поиска. Вы вообще всё время так посылаете новичков на... и включаете пипи....метры или только когда вопрос подрывает идеологическую линию?
sda00
Цитата:
Цитата:
полной мере позволяют контролировать- хотелось бы верить, но что-то невидно
Цитата:
современные файрволлы.- скажите пожалуйста в чём же такое глобальное отличие в работе
современных файрволов от преведущих поколений
Цитата:
читатьсупер, а в винде чтобы что-то нормально настроить читать ненадо, можно только тыкать
Цитата:
есть механизмывы бы сразу их в коплексе для решаемой задачи привели в первом ответе и
небыло бы никаких "споров", что действительно за такие безимянные механизмы?
Цитата:
это описание- а что такого в этом описании? незнал что под виндой и линуксом такие различия
в постановке заданий. Приведите кстати правильную постановку для данной задачи, или сама
задача какая-то нетакая? не имеет права на существование?
Цитата:
намного более простые и прозрачные-если они такие простые не быстрее ли было бы их описать
или указать, чем писать ваш пост?
Цитата:
чистейшей воды непонимание- спасибо буду знать, с вас линки
Цитата:
uid, euid, suid,
Цитата:
MAC- как всё это относится к моей задаче?
Цитата:
вам будет проще на винде- спасибо в следующий раз за себя решайте
Цитата:
не пробовали- да не только пробовал, по другим вопросам уже кое-чего нарешал
вы бы хоть имена этих механизмов привели что-ли, а то как я в google их искать то буду? (кстати
это случаем не механизм gcc
), пока что по запросам к тому же google у меня сложилось ощущение что большинство линуксоидов про файрволл вообще ничего незнают и никогда им не пользовались.
Перечитывать терабайты всей подряд документации идущей с линух желанием не горю, указали
бы лучше направление поиска. Вы вообще всё время так посылаете новичков на... и включаете пипи....метры или только когда вопрос подрывает идеологическую линию?
sda00
Цитата:
рабочей (хм) среды- да знаете линукс поставил чисто в тетрис поиграть, спасибо на добром слове
DarkAir
вот про таких как ВЫ и пишут на ЛОР-е:
недобыдлоадминен и тд... и тп... и это - самое мягкое, что могу сказать о Вас в этой ситуации.
ответ Вам здесь уже дали (причём без использования AppArmor, а родными средствами iptables. Квалифицированный и Грамотный ответ). Вы от ответа отмахнулись, ибо Вы - невежда и читать не умеете. Могу лишь Вам посоветовать и дальше продолжать себя вести в том же духе - глядишь будет толк...
вот про таких как ВЫ и пишут на ЛОР-е:
недобыдлоадминен и тд... и тп... и это - самое мягкое, что могу сказать о Вас в этой ситуации.
ответ Вам здесь уже дали (причём без использования AppArmor, а родными средствами iptables. Квалифицированный и Грамотный ответ). Вы от ответа отмахнулись, ибо Вы - невежда и читать не умеете. Могу лишь Вам посоветовать и дальше продолжать себя вести в том же духе - глядишь будет толк...
DarkAir, не зная вашего возраста и квалификации не буду делать выводов об общем уровне администраторских знаний, но про Linux/UNIX скажу точно: пока не поймете систему ничего у вас не будет.
что касается ваших комментов - вы сами все показали. привычка дергать по отдельному слову это явный и четкий признак. выдернули из контекста - автоматически означает, что говорить с вами не о чем.
удачи вам в ваших поисках. все, что было нужно, уже было сказано.
что касается ваших комментов - вы сами все показали. привычка дергать по отдельному слову это явный и четкий признак. выдернули из контекста - автоматически означает, что говорить с вами не о чем.
удачи вам в ваших поисках. все, что было нужно, уже было сказано.
DarkAir
Хватит пререкаться, просто вам рассказли всё что можно, дело осталось за вами, как вы это примените, если устроите вашу "схему" на ос виндовс вы герой, парус слов про понимание.... объясните мне, каким образом вообще впринципе возможно запретить входящие данные основываясь на НАЗВАНИИ приложения, как по вашему, как система будет реагировать на входящий пакет к примеру для httpd proftpd smbd и прочим сервисам запускающих десяток одноимённых приложений, предствьте себя на месте этой системы, я думаю вы зависните ))) так что либо uid/gid либо пишите скрипты на pid, да и что за приложение вы хотите так жёстко контролировать если не секрет?
Хватит пререкаться, просто вам рассказли всё что можно, дело осталось за вами, как вы это примените, если устроите вашу "схему" на ос виндовс вы герой, парус слов про понимание.... объясните мне, каким образом вообще впринципе возможно запретить входящие данные основываясь на НАЗВАНИИ приложения, как по вашему, как система будет реагировать на входящий пакет к примеру для httpd proftpd smbd и прочим сервисам запускающих десяток одноимённых приложений, предствьте себя на месте этой системы, я думаю вы зависните ))) так что либо uid/gid либо пишите скрипты на pid, да и что за приложение вы хотите так жёстко контролировать если не секрет?
sda00
Цитата:
дать тоже что и контроль отдельных приложений, я так понимаю что для того чтобы чем-то так
управлять прийдется под каждое приложение создавать нового пользователя - это то что вы
предлагали в своём квалифициорованном ответе? Тем более не gid не sid не действуют на входящие
соединения.
keyhell
Цитата:
ZaqwrKos
На названии не знаю, причем здесь оно. Вы винду под эмулятором поставьте сами и посмотрите как
на ней это можно сделать, откуда я знаю точную работу закрытых механизмов, там контроль можно
реализовать с предварительной проверкой имени&пути&md5 приложения.
Цитата:
а с этим не справится?
Насчёт задачи - всё указано выше. Имена конкретных приложений излишне, зачем? чтобы вы могли предложить мне поиск обходных путей ещё каким-то способом?
Меня интересует решения задачи так как она была поставлена с самого начала. Насколько я понял
решить её вообще под linux нельзя. keyhell & sda00 видимо умеют решать данную задачу, я посмотрю
ещё может быть чего и напишут полезного.
Цитата:
ответ- желаемое не надо выдавать за действительное, контроль по user id, group id не может
дать тоже что и контроль отдельных приложений, я так понимаю что для того чтобы чем-то так
управлять прийдется под каждое приложение создавать нового пользователя - это то что вы
предлагали в своём квалифициорованном ответе? Тем более не gid не sid не действуют на входящие
соединения.
keyhell
Цитата:
Вы от ответа отмахнулись (sda00)
ZaqwrKos
На названии не знаю, причем здесь оно. Вы винду под эмулятором поставьте сами и посмотрите как
на ней это можно сделать, откуда я знаю точную работу закрытых механизмов, там контроль можно
реализовать с предварительной проверкой имени&пути&md5 приложения.
Цитата:
десяток одноимённых приложений- как же она бедная трилионы операций в секунду выполняет
а с этим не справится?
Насчёт задачи - всё указано выше. Имена конкретных приложений излишне, зачем? чтобы вы могли предложить мне поиск обходных путей ещё каким-то способом?
Меня интересует решения задачи так как она была поставлена с самого начала. Насколько я понял
решить её вообще под linux нельзя. keyhell & sda00 видимо умеют решать данную задачу, я посмотрю
ещё может быть чего и напишут полезного.
прекратили взаимные наезды быстро!
DarkAir
Цитата:
реализуйте под freebsd
Цитата:
Тем более не gid не sid не действуют на входящие
соединения.
реализуйте под freebsd
Мда, тема заглохла На мой взгляд, DarkAir неточно сформулировал задачу:
1) в этом топике мы рассматриваем не сервер, а исключительно desktop.
2) защита от руткитов и т.п. действительно решается с помощью iptables и в этом топике не должна рассматриваться
3) проблема состоит в появлении ПО с закрытым кодом, содержащего шпионские модули, рекламные вставки, и т.п.
Т.о., если исключить совет отказаться от подобного ПО совсем (патчевание ввиду нарушения лицензии тоже исключим), возникает проблема ограничить некоторые приложения, запускаемые интерактивно разными пользователями, в доступе к интернету. Чистыми iptables это не решается. У кого-нибудь есть конструктивные мысли?
На мой взгляд, DarkAir неточно сформулировал задачу: 1) в этом топике мы рассматриваем не сервер, а исключительно desktop.
2) защита от руткитов и т.п. действительно решается с помощью iptables и в этом топике не должна рассматриваться
3) проблема состоит в появлении ПО с закрытым кодом, содержащего шпионские модули, рекламные вставки, и т.п.
Т.о., если исключить совет отказаться от подобного ПО совсем (патчевание ввиду нарушения лицензии тоже исключим), возникает проблема ограничить некоторые приложения, запускаемые интерактивно разными пользователями, в доступе к интернету. Чистыми iptables это не решается. У кого-нибудь есть конструктивные мысли?
lopen3
http://l7-filter.sourceforge.net/
Цитата:
ну а для контроля http, наверное стоит использовать прокси?
http://l7-filter.sourceforge.net/
Цитата:
L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that match on IP address, port numbers and so on.
ну а для контроля http, наверное стоит использовать прокси?
lopen3
тогда только самому писать на сишнике =) какое нить подобие ната, который будет, сопоставлять как пример что за приложения и кому можно пускать в инет ... штатными средствами врятли....
тогда только самому писать на сишнике =) какое нить подобие ната, который будет, сопоставлять как пример что за приложения и кому можно пускать в инет ... штатными средствами врятли....
Вот блин =), а я то думал.... всё предусмотренно =)
Просто токо начинаю юзать Linux, уж простите за секунду гуру не становятся....
Просто токо начинаю юзать Linux, уж простите за секунду гуру не становятся....
lopen3
Цитата:
Выявить его можно без труда при помощи AppArmor-инструмента который позволяет отследить что делает программа не только в сети но и на локальном компьютере (чтение и запись фалов, каталогов).
Цитата:
AppArmor. Для приложения просто прописываются правила, что ему делать можно и все. Это гораздо круче вендофайрволлов. Тем самым можно защититься от опасного закрытого ПО и потенциальных ошибок в открытом ПО.
AppArmor испкаропки есть в openSUSE и Ubuntu. В openSUSE еще есть и очень удобные инструменты для его настройки в виде модулей Yast.
Добавлено:
Вообще ИМХО это паранойя, подцепить руткит довольно сложно, даже практически невозможно если выполнять элементарные правила: ставить софт из репозитариев и не ставить ничего с рапиды и китайских варезников.
ЗЫ Доки по AppArmor
Цитата:
3) проблема состоит в появлении ПО с закрытым кодом, содержащего шпионские модули, рекламные вставки, и т.пВо- первых закрытое ПО со шпионскими модулями и рекламными вставками не нужно.
Выявить его можно без труда при помощи AppArmor-инструмента который позволяет отследить что делает программа не только в сети но и на локальном компьютере (чтение и запись фалов, каталогов).
Цитата:
если исключить совет отказаться от подобного ПО совсем (патчевание ввиду нарушения лицензии тоже исключим), возникает проблема ограничить некоторые приложения,
AppArmor. Для приложения просто прописываются правила, что ему делать можно и все. Это гораздо круче вендофайрволлов. Тем самым можно защититься от опасного закрытого ПО и потенциальных ошибок в открытом ПО.
AppArmor испкаропки есть в openSUSE и Ubuntu. В openSUSE еще есть и очень удобные инструменты для его настройки в виде модулей Yast.
Добавлено:
Вообще ИМХО это паранойя, подцепить руткит довольно сложно, даже практически невозможно если выполнять элементарные правила: ставить софт из репозитариев и не ставить ничего с рапиды и китайских варезников.
ЗЫ Доки по AppArmor
HighwayStar
Цитата:
Если бы для всего существовал бесплатный Opensource аналог - я бы с этим не спорил, более того, я сам предпочитаю открытый код. А так - бесполезный спор.
У меня есть одна купленная мной программа которая проверяет по UDP, что не запущен ли где еще один экземпляр, а также анонсирует по UDP свой запуск. Я не хочу чтобы хоть кто-нибудь в сетке знал о том, что у меня есть такой софт, а производитель, так как я частное лицо и не закупаю их софт на мегабаксы - не реагирует. Также стоит VoIP софтфон, т.е. перекрыть диапазон UDP - нельзя. Все более частая картина, по мере распространения коммерческого софта, не так ли?
Еще раз повторюсь - я данную ветку рассматриваю исключительно не как средство защиты от руткитов, а как исключительно домашний вариант, где мощные интеллектуальные прокси и анализаторы траффика на выделенном железе исключены!
P.S. Ушел читать доки по AppArmor
Цитата:
Во- первых закрытое ПО со шпионскими модулями и рекламными вставками не нужно.
Если бы для всего существовал бесплатный Opensource аналог - я бы с этим не спорил, более того, я сам предпочитаю открытый код. А так - бесполезный спор.
У меня есть одна купленная мной программа которая проверяет по UDP, что не запущен ли где еще один экземпляр, а также анонсирует по UDP свой запуск. Я не хочу чтобы хоть кто-нибудь в сетке знал о том, что у меня есть такой софт, а производитель, так как я частное лицо и не закупаю их софт на мегабаксы - не реагирует. Также стоит VoIP софтфон, т.е. перекрыть диапазон UDP - нельзя. Все более частая картина, по мере распространения коммерческого софта, не так ли?
Еще раз повторюсь - я данную ветку рассматриваю исключительно не как средство защиты от руткитов, а как исключительно домашний вариант, где мощные интеллектуальные прокси и анализаторы траффика на выделенном железе исключены!
P.S. Ушел читать доки по AppArmor
Как вариант - запретить все и всем, проги запускать скриптами, которые по pid-у будут рулить правилами iptables, костыли, конечно, но, думаю, реализуемо...
Так и не произошло никаких позитивных изменений в этом направлении для Linux за всё это время, а жаль.
http://askubuntu.com/questions/45072/how-to-control-internet-access-for-each-program
http://askubuntu.com/questions/45072/how-to-control-internet-access-for-each-program
Предыдущая тема: Что такое AIGLX?
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.