Зворотний брандмауер або брандмауер програми?

Зазвичай брандмауери використовуються для запобігання надходженню поганих "пакетів" із зовнішнього світу. Але в наші дні ми здебільшого відстаємо від маршрутизаторів, і багато з цієї небезпеки маршрутизатор зменшує. Небезпека, з якою ми стикаємося, здебільшого зсередини. Прислів’я троянського коня.

У світі Windows багато брандмауерів додатків, і OSX має акуратну утиліту під назвою "Маленький сніг", яка виконує цю роботу із забезпечення роботи програм, не вимагаючи даних за межами їх сфери. Навіть мій iPhone, у в'язниці зламаний, має додаток, який забороняє додаткам отримувати доступ до веб-сайтів поза їх межами. Дивовижна кількість даних, які вони "посилають" на веб-сайти, такі як scorecard.com та різноманітні сервери яблук. Я відключаю їх, і програми все ще працюють, тому я знаю, що це не потрібно.

У світі Linux, мабуть, мало цього шляху. Ви можете збивати його з iptablesіншими сценаріями в perl, щоб отримати результат дуже незграбно.

Займіть цю публікацію, на яку часто посилаються, коли задається таке питання.

Як контролювати доступ до Інтернету для кожної програми?

Це не відповідає на питання.

Вони говорять про брандмауери, які повністю скорочують порт, а це не те, що хоче більшість людей. Більшість людей хочуть, щоб програма X, яка має бути локальним додатком, не виходила і не спілкувалася в Інтернеті, коли їй не потрібно спілкуватися в Інтернеті. Або програма, яка отримує доступ до погоди Yahoo, переходить на п’ять інших сайтів, не пов'язаних із завданням доступу до погоди. Або в одному з моїх банківських додатків на iPhone виходить поза банком на веб-сайт Webtrends. Звичайно, це не пов’язано з Ubuntu, але є прикладом програм, що ведуть себе погано.

Інший додаток, про який йдеться в цій публікації, - це Leopard Flower, який не оновлювався протягом року, і мені б не хотілося продовжувати роботу з новим випуском Ubuntu.

Усі інші публікації, пов’язані з цією областю, продовжують робити рекомендації для додатків, які повністю обмежують доступ до програми, але не дають такої простої ідеї "Маленький знімок" програми App X, щоб отримати доступ до Інтернету Y, дозволити або заборонити. Ніяких складних правил iptable, загального відключення порту.

Я досить важко виглядав чи просто немає "Брандмауера додатків" для Ubuntu?

AppArmor

AppArmor - це реалізація модуля безпеки Linux для управління доступом на основі імен. AppArmor обмежує окремі програми набором перерахованих файлів і можливостей чернетки 1003.1e.

нижче посилання.

https://help.ubuntu.com/community/AppArmor

SE Linux - один із прикладів брандмауера рівня додатків для Linux, але його досить важко реалізувати як дуже ретельний.

Я не знаю, що ти так погано вважаєш про апермор. Звичайно, для цього потрібно трохи читати чоловічі сторінки. Але крім цього, я вважаю його простим у використанні.

У минулому я використовував персональні (тобто додаткові) брандмауери, коли ще використовував Windows (на роботі). Я не вважаю, що apparmor ні в якому разі не вистачає, за винятком відсутності графічного інтерфейсу. У свою чергу, він надає додаткові функції безпеки - ви не можете запобігти DoS-атаці програмою, яка просто з'їдає ресурси персональним брандмауером для Windows, тоді як ви можете робити це з apparmor.

Крім того, він має чудові інструменти діагностування та управління - шукайте aa-unconfined та всі інші команди aa- * (спочатку вам потрібно встановити apparmor-утиліти).

Ви побачите, що навіть при мінімальній конфігурації, яку ви отримуєте при установці системи Ubuntu за замовчуванням, ви все ще досить захищені. Це має багато спільного з механізмом установки та кількома операціями низького рівня, що вимагають привілеїв в Linux - більшість програм ніколи не отримують прямого доступу до мережі.

Окрім цього, подивіться на Томойо. Він ще не такий зрілий, як apparmor чи SELinux, але я думаю, що це варто зняти.

Я можу запропонувати вам ознайомитися з моїм додатком http://douaneapp.com/ .

Це брандмауер програми, що обмежує доступ до мережі в кожній програмі. Не соромтеся надсилати мені коментарі та відгуки.