Как запретить всем программам выходить в Интернет?

belous_k_a

Уважаемый, вы рассуждаете с недалекой позиции казуального пользователя. На практике в браузере вы можете открыть web-страницу с апплетом который будет открывать HTTP соединение на 8080 порт и получать оттуда данные большого объема.

а кто меня только-что учил, что запрещать надо всё, что не разрешено. Уважаемый silw как раз и предлагает закрыть 80й порт - ежу понятно, что ВСЕ остальные порты также наглухо закрыты. Т.ч. ваш аплет лосаснёт тунца.

belous_k_a

Про такие вещи как торрент я вообще скромно умолчу, так как в этой теме собрались люди странные.

можно подумать, что вы про них что-то знаете... Может и про Kademlia тоже слышали?

belous_k_a

Уважаемый, вы наглядно демонстрируете негативное отношение OpenSource коммьюнити к новоприбывшим пользователям, и это отношение негативно сказывается на популярности GNU/Linux

вы думаете, это кого-то волнует? К тому-же пользы Сообществу от тех, кто тащит суда маздайный мусор, нет, не было и не будет.

anonymous

В ip-tables это решается дефолтным режектом и добавлением необходимых исключений. Вы либо не в теме, либо тролль.

тролль не в теме.

а кто меня только-что учил, что запрещать надо всё, что не разрешено. Уважаемый silw как раз и предлагает закрыть 80й порт - ежу понятно, что ВСЕ остальные порты также наглухо закрыты. Т.ч. ваш аплет лосаснёт тунца.

Апплет, милейший, приведен для несостоятельности ваших фантазий.

Коль скоро вы научились закрывать все, то теперь догадайтесь что настройки безопасности запрещают доступ к указанному порту всем программам, кроме /usr/bin/firefox и теперь пожалуйста сообщите, как вы собираетесь взламывать защиту от обычного пользователя создав хардлинк на Mozilla Firefox в вашем домашнем каталоге?

belous_k_a

Запрет всей сетевой активности не подействовал? Уважаемый, вы не заболели?

я здоров. Дело не в том, «что-то там подействовало», дело в том, что ваше правило сработало неверно.

belous_k_a

Милейший, вы сами прекрасно знаете, почему, потому что в GNU/Linux нет доменов безопасности

нет, не знаю. К стыду своему, я даже не знаю, кто такие „домены безопасности“.

belous_k_a

а сам по себе PID ничего не значит, да использовать его практически невозможно в отличие от имени файла.

имя файла тоже практически невозможно использовать, т.к. оно постоянно меняется. Повторяю - это не шиндос, тут работающий файл никак не заблокирован, и с ним может случится всё что угодно. Как и с его именем. В шиндовс вы точно знали, что пока файл работает, и сам файл и его имя не поменяются. А тут у вас таких гарантий нет. Мало того, вы и отследить этого не можете. Потому, на имя файла надеяться никак нельзя.

что ваше правило сработало неверно.

Так вы, милейший, и не сообщили, у вас netfilter пропустил некие пакеты когда все было запрещено? Извольте отправить багрепорт разработчикам ядра!

К стыду своему, я даже не знаю, кто такие „домены безопасности“.

Это печально, уважаемый, а как вы назваете совокупности информации об источнике пакета - порты, pid а следовательно всю информацию о программе, в т.ч. имя, inode, права с которыми она запущена т.д.

Или при фильтрации пакетов GNU/Linux кроме порта ничего невозможно узнать? Это все объясняет.

имя файла тоже практически невозможно использовать, т.к. оно постоянно меняется.

Уважаемый, у вас неправильно представление о GNU/Linux, имя файла /usb/bin/firefox обычный пользователь поменять не может. А сам по себе Mozilla Firefox обновляться не может. Да и разумом не обладает.

belous_k_a

Коль скоро вы научились закрывать все, то теперь догадайтесь что настройки безопасности запрещают доступ к указанному порту всем программам, кроме /usr/bin/firefox и теперь пожалуйста сообщите, как вы собираетесь взламывать защиту от обычного пользователя создав хардлинк на Mozilla Firefox в вашем домашнем каталоге?

с какой целью мне это делать? я прекрасно солью все ваши секретные документы вашем-же браузером, который вы мне так любезно предоставили ;-) Да и я не понимаю, каким образом это реализовать. Кстати, ваша «защита» коснётся боком легитимных юзеров - во время каждого обновления ФФ у них ВНЕЗАПНО будет пропадать Сеть.

Уважаемый, вы не забыли, что рассматривается защита не от вас, а вовсе от различных программ которые без спросу лезут в сеть? Попросту говоря от всех кроме браузера, и подозреваю, интернет мессенджера.

спор какой-то неправильный. ты не привел пруфа того, что винда блочит программы от сети. а drBatty пытается тебе доказать что-то. Много знаешь, помогай. Нефиг тут спорить. Помоги ТСу лучше.

По теме:

Как запретить всем программам выходить в Интернет?

Твое решение простое, а именно

iptables -P OUTPUT DROP

хотеть запретить всем программам, кроме одной(броузер)*, выходить в Интернет. Даже чтобы рут не мог выходить в интернет.

Да запросто:

adduser web
chmod 700 /home/твой юзер
chmod 770 /home/web
adduser твойюзер web
далее, либо с помощью inotify (incron), либо umask в скрипт и скрипт вызываешь вместо браузера.
sudo -u web /usr/bin/www-browser

И, тролли, пошли нафиг!

а, далее iptables -m owner --uid-owner

belous_k_a

Так вы, милейший, и не сообщили, у вас netfilter пропустил некие пакеты когда все было запрещено?

ну необходимость защиты придумал не я. Это вы подпёрли очередным костылём ваш карточный домик.

belous_k_a

Это печально, уважаемый, а как вы назваете совокупности информации об источнике пакета - порты, pid а следовательно всю информацию о программе, в т.ч. имя, inode, права с которыми она запущена т.д.

а.. дык в Linux такие вещи и невозможны. Например мы можем узнать командную строку, но это НЕ значит, что мы узнаем имя программы. И тем-более inode с правами самого файла.

belous_k_a

Или при фильтрации пакетов GNU/Linux кроме порта ничего невозможно узнать? Это все объясняет.

можно многое узнать вообще-то. Не только номера портов и адреса. Ну а сразу после выхода из приложения в фильтр можно и отфильтровать по UID & GID.

belous_k_a

Уважаемый, у вас неправильно представление о GNU/Linux, имя файла /usb/bin/firefox обычный пользователь поменять не может. А сам по себе Mozilla Firefox обновляться не может. Да и разумом не обладает.

в большинстве дистрибутивов ФФ обновляется как раз именно сам по себе. Если его юзер к себе в домашний каталог не поставил. Если поставил, то таки может. В любом случае:

ipt_owner: pid, sid and comand matching not supported anymore

создатели фильтра согласны таки со мной, а не с вами (что наверное не удивительно, ибо я здесь уже много лет).

uspen

Да запросто: adduser web

ну а я что предложил? те-же яйца: Как запретить всем программам выходить в Интернет? (комментарий)

правильно, просто я более менее по полочкам написал и влупил этому троллю как можно избежать 0777 прав на каталог.

ну необходимость защиты придумал не я

Уважаемый, т.е. вы предлагает все открыть?

а.. дык в Linux такие вещи и невозможны

SELinux может.

в большинстве дистрибутивов ФФ обновляется как раз именно сам по себе.

Назовите пожалуйста дистрибутивы где Mozilla Firefox сам сапускает пакетный менеджер?

создатели фильтра согласны таки со мной, а не с вами (что наверное не удивительно, ибо я здесь уже много лет).

Вы, о чем уважаемый? О том что удалили, так я это написал еще раньше, или вы, милейший, перевели фразу «not supported anymore» как «мы согласны с тобой о великий drBatty», в последнем случае вам желательно проконсультироваться со специалистами.

далее, либо с помощью inotify (incron), либо umask в скрипт и скрипт вызываешь вместо браузера.

Уважаемый, вы издеваетесь над новичками.

завязывай ненужный спор в Admin. Вопрос решен, что еще флудить.

uspen

правильно, просто я более менее по полочкам написал и влупил этому троллю как можно избежать 0777 прав на каталог.

угу...

Я позиционирую GNU/Linux, как ОС для обслуживания админом, а не пользователем. У меня в офисе большинство машин под linux и пользователи спокойно годами работают. Но обслуживаю я.

А дома, для домохозяек, linux пока не готов, именно из-за отсутствия GUI ко многим сложным программам.

belous_k_a

Уважаемый, т.е. вы предлагает все открыть?

я предлагаю вам самим на досуге подумать. в любом случае это невозможно.

belous_k_a

SELinux может.

пруф?

belous_k_a

Назовите пожалуйста дистрибутивы где Mozilla Firefox сам сапускает пакетный менеджер?

часто пакетный менеджер запускается по crond'у. И всё обновляет. В т.ч. и ФФ. в мандриве например.

belous_k_a

Вы, о чем уважаемый? О том что удалили

да. почему удалили-то?

Уважаемый, вы издеваетесь над новичками.

man inotify

почитайте, там всё расписано.

я предлагаю вам самим на досуге подумать. в любом случае это невозможно.

Уважаемый, вы еще недавно говорили что это не работает, теперь «невозможно» настроить. Давайте вы сами подумаете над вашей точкой зрения.

часто пакетный менеджер запускается по crond'у. И всё обновляет. В т.ч. и ФФ. в мандриве например.

Вот опять таже история, то Mozilla Firefox сам, а теперь пакетный менеджер по крону. Между прочим первое что делают после установки линукса - отключают автоматические обновления, так как не все обновления одинаково полезны, да и из-за особенностей GNU/Linux вполне может произойти обновление различных системных библиотек :-D

да. почему удалили-то?

И это я тоже писал, вашего ника там не было.

На сем предлагаю закончить, ибо мы с вами нарушаем правила ресурса как верно заметили уважаемый uspen, кроме того тут я вам уже рассказал практически все аспекты безопасности, а автор темы уже отправился спать.

belous_k_a

Уважаемый, вы еще недавно говорили что это не работает, теперь «невозможно» настроить. Давайте вы сами подумаете над вашей точкой зрения.

это невозможно. невозможна фильтрация по PID. вот и подумайте, зачем эту фичу убрали.

belous_k_a

Вот опять таже история, то Mozilla Firefox сам, а теперь пакетный менеджер по крону.

я же сказал - как поставите, и как настроите.

belous_k_a

Между прочим первое что делают после установки линукса - отключают автоматические обновления, так как не все обновления одинаково полезны, да и из-за особенностей GNU/Linux вполне может произойти обновление различных системных библиотек :-D

это вам знакомый гуру сказал?

belous_k_a

И это я тоже писал, вашего ника там не было.

чего? какого ника? отмотайте и перечитайте. если непонятно, вопрос такой: почему удалили --pid-owner?

belous_k_a

На сем предлагаю закончить, ибо мы с вами нарушаем правила ресурса как верно заметили уважаемый uspen, кроме того тут я вам уже рассказал практически все аспекты безопасности

которые вам известны? ;) ладно, пойду я таки работать.

много буков -не осилил, но ответов знаю ровно 2:

1) -A OUTPUT -o inet-iface -j DROP -I OUTPUT -o inet-iface -p tpc -m tcp --dports 80,443 -j ACCEPT либо вообще поставить прокюс (не обязательно монснтра сквида) 2) -m owner --cmd-owner «appname»

про --uid-owner я думаю уже написали?

криокамера
это выпилили давно из ядра

про --uid-owner я думаю уже написали?

а его не выкинули разве из ядра?

выкинули? не знаю, было ли оно вообще там, я через пачоматик делал, так что хз.