Я мушу визнати, що я дуже новачок у світі Linux, і є концепції, які мені здаються дуже незнайомими.

Я найбільше сумую за хорошим, але простим брандмауером рівня додатків. На сьогоднішній день, з усією цією нав'язливою нав'язливою та постійною підключенням до Інтернету, необхідно знати, що саме робить ваш комп’ютер, чому і з ким. Аналізатор протоколів нормальний, але занадто недоброзичливий і забирає багато часу для "аналізу", який практично не марний для домашніх користувачів.

Я виявив багато програм у середовищах Windows, які не повинні підключатися до Інтернету, але вони це роблять (і за допомогою мого безкоштовного брандмауера ZoneAlarm я можу їх зупинити).

За допомогою Gufw (та кількох інших) ви повинні знати, які додатки ви вже встановили (і ми знаємо, що це майже неможливо в цій сучасній ОС з мільярдами кодових рядків).

Що я шукаю - це брандмауер, який відстежує підключення NIC / WAN і виявляє будь-яку програму / додаток або все, що намагається "розмовляти" через нього проактивно, незалежно від того, який порт намагається використовувати (обов'язково з програм, про які я згадував раніше, намагаюся підключитися використовуючи добре відомі порти TCP: 80, 443, 8080). Чи існує це? (Якщо ні, то як я точно знаю, що робить мій комп'ютер?)

Дуейн

Douane - це персональний брандмауер, який захищає конфіденційність користувача, дозволяючи користувачеві контролювати, які програми можуть підключатися до Інтернету зі свого комп’ютера GNU / Linux.

Установка

Дотепер (2017/05/22) не доступні пакети Ubuntu. Ви повинні створити його з джерела.

Ці інструкції по установці засновані на інформації з Douane Wiki та перевірені на 64-розрядному Ubuntu 16.04.2.

Відкрийте термінал ( Ctrl+ Alt+ T) для запуску команд.

Підготовка

Оновіть систему:

sudo apt update
sudo apt full-upgrade

Якщо ви отримаєте сповіщення з проханням перезапустити комп'ютер, перезавантажте його.

Встановіть залежності

sudo apt install git build-essential dkms libboost-filesystem-dev libboost-regex-dev libboost-signals-dev policykit-1 libdbus-c++-dev libdbus-1-dev liblog4cxx10-dev libssl-dev libgtkmm-3.0-dev python3 python3-gi python3-dbus

Створіть каталог для компіляції

cd
mkdir Douane
cd Douane

Побудуйте модуль ядра

git clone https://github.com/Douane/douane-dkms
cd douane-dkms
sudo make dkms

Перевірте, чи модуль був побудований та встановлений правильно:

lsmod | grep douane

Ви повинні побачити щось на кшталт:

douane                 20480  0

Побудуйте демон

cd ~/Douane
git clone --recursive https://github.com/Douane/douane-daemon
cd douane-daemon
make
sudo make install

Побудувати діалоговий процес

cd ~/Douane
git clone --recursive https://github.com/Douane/douane-dialog
cd douane-dialog
make
sudo make install

Запустіть діалоговий процес:

/opt/douane/bin/douane-dialog &

Потім перевірте, чи працює він:

pgrep -a douane-dialog

Ви повинні побачити щось на кшталт:

21621 /opt/douane/bin/douane-dialog

Побудуйте конфігуратор

cd ~/Douane
git clone https://github.com/Douane/douane-configurator
cd douane-configurator
sudo python3 setup.py install

Запустіть демон і налаштування автоматичного запуску

Мені довелося вставити наступний текст у файл /etc/init.d/douane, щоб увімкнути автоматичний запуск демона:

### BEGIN INIT INFO
# Provides:          douane
# Required-Start:
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Douane firewall
### END INIT INFO

Відкрийте файл для редагування:

sudo nano /etc/init.d/douane

Потім вставте вищезгаданий текст після опису програми. Натисніть Ctrl+ O, Enterщоб зберегти, а потім Ctrl+, Xщоб вийти з редактора.

Це перші 21 рядок файлу після того, як я вставив текст:

#!/bin/bash
#
# douane      This shell script takes care of starting and stopping
#             douane daemon (A modern firewall at application layer)
#
# Author: Guillaume Hain zedtux@zedroot.org
#
# description: douane is the daemon process of the Douane firewall application. \
# This firewall is limiting access to the internet on application bases.

### BEGIN INIT INFO
# Provides:          douane
# Required-Start:
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Douane firewall
### END INIT INFO

# Source function library.
. /lib/lsb/init-functions

Тепер ви можете налаштувати автоматичний запуск та запустити демон:

sudo systemctl daemon-reload
sudo systemctl enable douane
sudo systemctl start douane

Активуйте фільтр і автоматично запустіть діалогове вікно

Запустіть конфігуратор:

douane-configurator

Потім переконайтесь, що перемикачі Використовуйте Douane для фільтрації мого мережевого трафіку та Автоматичний запуск Douane при завантаженні .

Ви можете переглянути правила фільтрування на вкладці Правила . Клацнувши правою кнопкою миші правило, ви можете видалити його.

Тест

Якщо все в порядку, вам слід побачити вікно Douane з проханням дозволу, коли ви відкриваєте програми, які використовують мережеві з'єднання.

Існує новий проект під назвою OpenSnitch, описаний на

https://www.cyberciti.biz/python-tutorials/opensnitch-the-little-snitch-application-like-firewall-tool-for-linux/

Сторінка проекту https://www.opensnitch.io/

На даний момент це вважається альфа-програмним забезпеченням, і, як не дивно, це написано в Python, але принаймні це нова спроба, тоді як Douane - це дуже стара програма, яку (я думаю) встановити набагато складніше.

Відмова: Я особисто не перевіряв жодної програми, я просто намагався знайти, чи є інші варіанти, і помітив, що тут ще ніхто не згадував OpenSnitch.

Це дійсно гарне запитання, але я ненавиджу такі питання, тому що на них дуже важко відповісти, не відриваючись, мовляв, безпека не важлива.

Отже, спершу дозвольте сказати, що безпека важлива, але що Linux обробляє її зовсім інакше, ніж це робить Windows.

Тож давайте вирішимо ваше питання.

По-перше, не збирається існувати брандмауер, який працює аналогічно зоні тривоги. У Linux просто немає великої потреби в цьому. Багато додатків працюють в архітектурі клієнт / сервер, навіть якщо ви використовуєте їх на одній машині. Xorg - чудовий приклад. Спочатку у вас є сервер (у цьому випадку частина, яка малює на екрані) і клієнт (gedit) gedit розмовляє з сервером про те, як намалювати його кнопки, розмістити текст та інше. Навіть щось настільки просте ос миша має таку саму архітектуру (чи могла мати). Програма діє як сервер, який прослуховує інформацію та надсилає дані, коли вона їх отримує, тоді клієнт "підключається" до цього "мишачого сервера" і чекає інформації.

Це настільки поширено в Linux, що якщо ви створили брандмауер, який запитував дозвіл на кожне мережеве з'єднання, ви, ймовірно, не змогли б його налаштувати, оскільки він не міг підключитися до власного сервера.

Це все дуже грубий приклад, дещо це вводить в оману, оскільки це настільки високий рівень. Але це все ще дуже правда.

Щоб захистити нас від користувачів Linux від цього, ми маємо набір двох дуже основних правил, які виконують дуже хорошу "основну" роботу.

По-перше, жоден користувач, крім root, не може відкрити будь-який порт нижче 1024. (знову ж таки дуже високий рівень). Це означає, що навіть для запуску FTP-сервера (на стандартному порту) вам потрібно мати root-доступ. Ви як користувач зазвичай можете відкривати "високі порти" (ті, які перевищують 1024). Але дивіться правило два.

2-й. жоден процес не може отримати доступ до жодного файлу, до якого користувач, який розпочав процес, не зміг отримати доступ. (знову дуже високий рівень) Отже, якщо "coteyr" повинен був запустити FTP-сервер, то цей FTP-сервер у гіршому випадку (високий рівень) матиме лише такий самий доступ, як і користувачевий котейр, який його запустив.

Через поєднання цих двох правил, "програмне забезпечення", яке запитує кожен раз, коли щось намагається підключити брандмауер, просто стає на шляху, і попиту на нього не так багато.

Це означає, що ви завжди можете створити правило для вихідного брандмауера, і в багатьох випадках це, мабуть, не погана ідея. Багато сервісів можуть бути (і за замовчуванням) налаштовані на використання файлових сокетів (або на основі пам'яті), а не на мережевих сокетах.

Правило вхідного брандмауера зазвичай закриває будь-які непарні проміжки, залишені за правилами 1 або 2.

Моя суть у цьому. Безпека важлива, і я не намагаюсь сказати, що це не так, це просто тут, на землі Linux, у нас є різні інструменти та цілі. Я рекомендую ознайомитись з правами користувача та групи Linux, а потім використовувати такий інструмент, як gfw та IPTABLES, щоб заповнити будь-які прогалини.