Як контролювати доступ до Інтернету для кожної програми?

Я хотів би використовувати програмне забезпечення для контролю, яка програма може підключитися до Інтернету. Я знаю, що така поведінка пов’язана зі словом «брандмауер», але деякі користувачі Linux дуже засмучені, якщо хтось вимагає персонального брандмауера. Я не хочу засмучувати вас, вимагаючи такої програми.
Я не хочу "захищати порти" чи інші речі, які особистий брандмауер обіцяє в Windows. Я розглядав, iptablesале це не відповідає моїм вимогам.

Тут я побачив чудову відповідь ( "Як заблокувати доступ до Інтернету для програм для вина" ), але налаштувати це дуже незручно.

Чи є програмне забезпечення, яке запитує кожну програму, чи має вона доступ до Інтернету?

На німецькому форумі Ubuntu ( Google-переклад на англійську ) існує сценарій Perl, який, здається, це робить. Я ніколи не пробував цього, і не придивився уважніше до сценарію, але, можливо, він працює для вас. Опис зроблено лише німецькою мовою, тому вам може знадобитися послуга перекладу (наприклад, Google Translate; див. Вище).

Якщо ви все ще шукаєте подібний додаток, я зараз розробляю саме цю програму: http://douaneapp.com/ https://gitlab.com/douaneapp/Douane

Мій додаток блокує будь-які невідомі програми (нові версії авторизованої програми заблоковані) і запитує, чи дозволити чи заборонити трафік.

Подивіться на веб-сайт ;-)

Я знайшов зручне рішення, яке вирішує проблему. Ви створюєте групу, якій ніколи не дозволяється користуватися Інтернетом, і запускаєте програму як член цієї групи.

1. Створіть групу no-internet. Ви НЕ приєднатися до цієї групи

   sudo addgroup no-internet
   

2. Додайте правило до iptables, яке забороняє всі процеси, що належать до групи, no-internetвикористовувати мережу (використовувати ip6tablesтакож для запобігання трафіку IPv6)

   sudo iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP
   

3. Виконати sudo -g no-internet YOURCOMMANDзамість YOURCOMMAND.

Ви можете легко написати сценарій обгортки, який використовує для вас sudo. Ви можете позбутися запиту пароля, додавши

%sudo     ALL=(:no-internet)      NOPASSWD: ALL

або, щось подібне з sudo visudo

Використовуйте правила брандмауера iptables-saveта iptables-restoreзберігайте їх.

У Ubuntu вже є брандмауер ufw, але він відключений за замовчуванням. Ви можете ввімкнути та використовувати його за допомогою командного рядка або його фронту , gufw , який можна встановити безпосередньо з програмного центру Ubuntu.

Якщо вам потрібно заблокувати доступ до Інтернету до певної програми, ви можете спробувати LeopardFlower , який все ще знаходиться в бета-версії, і він недоступний у програмному центрі Ubuntu:

Запуск програми під іншим користувачем використовуватиме конфігураційні файли для цього користувача, а не ваш.

Ось рішення, яке не потребує зміни правил брандмауера, і працює під тим самим користувачем (через sudo) із зміненим середовищем, де є ваш користувач my_userі додаток, яке ви хочете запустити my_app:

# run app without access to internet
sudo unshare -n sudo -u my_user my_app

Більш детальну інформацію див man unshareі ця відповідь .

Брандмауер Linux GUI

Якщо ви шукаєте брандмауер графічного інтерфейсу, у мене були хороші результати з OpenSnitch - він ще не знаходиться у ребусі ubuntu, і я би не називав його виробничим рівнем, але слідуючи крокам збирання зі сторінки github, працював для мене.

@psusi: Я дуже хочу, щоб люди не розбирали погану та не корисну інформацію. IPTables дозволяє це зробити, тому я навряд чи вважаю це "дурним". Просто сказати "НІ", не розуміючи випадку використання, є дещо вузьким. http://www.debian-administration.org/article/120/Application_level_firewalling

EDIT bodhi.zazen

ПРИМІТКА - ЦЕ ВАРІАНТІВ ВІДНОВЛЕНО З IPTABLES у 2005 році

ДИВІТЬСЯ - http://www.spinics.net/lists/netfilter/msg49716.html

виконувати 34b4a4a624bafe089107966a6c56d2a1aca026d4 Автор: Крістоф Хеллвіг Дата: Вс 14 серпня 17:33:59 2005 -0700

[NETFILTER]: Видаліть зловживання у списку завдань_блокування в ipt {, 6} власнику

Виконайте відповідність cmd / sid / pid, оскільки його не можна виправити, і це перешкоджає блокуванню змін у tasklist_lock.

Signed-off-by: Christoph Hellwig <hch@xxxxxx>
Signed-off-by: Patrick McHardy <kaber@xxxxxxxxx>
Signed-off-by: David S. Miller <davem@xxxxxxxxxxxxx>

Ще один варіант - пожежна машина . Він запускає програму всередині пісочниці, де ви контролюєте, чи програма могла бачити мережу:

firejail --net=none firefox

Ця команда запустить браузер Firefox без доступу до Інтернету. Зауважте, що розподіл firejail у репортажі Ubuntu застарів - краще завантажте останню версію LTS з домашньої сторінки firejail.

Я знайшов рішення, розміщене тут, як хороше. Він передбачає створення групи користувачів, для якої доступ до Інтернету дозволений , та встановлення правил брандмауера, щоб дозволити доступ лише для цієї групи. Єдиний спосіб отримання програми для доступу до Інтернету - це якщо ним керує член цієї групи. Ви можете запускати програми в цій групі, відкривши оболонку за допомогою sudo -g internet -s.

Щоб підбити підсумок у публікації, яку я пов’язав вище:

1. Створіть групу "Інтернет", ввівши в оболонку: sudo groupadd internet

2. Переконайтеся, що користувач, який запустить сценарій нижче, буде доданий до sudoгрупи в /etc/group. Якщо ви остаточно модифікуєте цей файл, вам потрібно буде вийти з системи та ввійти в систему, перш ніж сценарій спрацює нижче.

3. Створіть сценарій, що містить таке, і запустіть його:

   #!/bin/sh
   # Firewall apps - only allow apps run from "internet" group to run
   
   # clear previous rules
   sudo iptables -F
   
   # accept packets for internet group
   sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
   
   # also allow local connections
   sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
   
   # reject packets for other users
   sudo iptables -A OUTPUT -p tcp -j REJECT
   
   # open a shell with internet access
   sudo -g internet -s
   

4. Запустивши вищевказаний сценарій, у вас з'явиться оболонка, в якій можна запускати програми з доступом до Інтернету.

Зауважте, що цей скрипт не робить нічого для збереження та відновлення правил брандмауера. Ви можете змінити сценарій для використання команд iptables-saveі iptables-restoreоболонок.

На краще чи гірше, Linux використовує інший підхід. Немає простого графічного інтерфейсу, який би пропонував цю функціональність. В Інтернеті існує багато дискусій на цю тему, і ви можете знайти цікаві дискусії, якщо ви шукаєте в Google. Хоча дебати цікаві, на сьогоднішній день не існує спеціальної групи програмістів, які бажали б написати та підтримувати цю функціональність.

Інструменти, які пропонують цю функціональність у Linux, - це Apparmor, Selinux та Tomoyo.

Жоден із цих інструментів надто легко засвоїти, і всі вони мають переваги та недоліки. Особисто я віддаю перевагу SELinux, хоча SELinux має більш круту криву навчання.

Побачити:

http://www.linuxbsdos.com/2011/12/06/3-application-level-firewalls-for-linux-distributions/

Була (є) програма, на яку вже посилалося, леопарффлау. Я не впевнений у статусі / обслуговуванні.

Це було в iptables до версії 2.6.24 Якщо ви працюєте з машиною 2.x - 2.6.24, і ваше ядро ​​виконало це, ви можете це зробити. чомусь вони вийняли його, так що ні його не мікрософт. http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html

Спробуйте квітку леопарда . Він має графічний інтерфейс та обмеження на додаток.

Ні, це неможливо. Це також не є частиною традиційного визначення брандмауера. Це щось, що Microsoft придумала зовсім недавно, намагаючись вирішити свої принципово розбиті проблеми безпеки ОС. Це вважається нерозумним та непрацездатним у спільноті Linux, оскільки одна програма, яка заборонена, може просто запустити іншу програму та отримати доступ таким чином.

Якщо вам не подобається, що програма працює в мережі, коли ви запускаєте її, тоді не запускайте програму.