Файрволл для приложений

достаточно задать «Белый список

iptables

Ты не поверишь.

В линуксе такое называется не firewall, а Mandatory Access Control. В убунтах AppArmor, в нормальных дистрах SELinux, в красноглазых grsecurity, RSBAC, TOMOYO.

в нормальных дистрах SELinux, в красноглазых grsecurity, RSBAC, TOMOYO.

хмм. я думал SeLinux самый самый. а есть гденибудь сравнительная таблица всех перечисленных, где объясняется, какой что может, что не может?

Не знаю, не разбирался. В гентушной вики наверняка есть какая-нибудь инфа, загляни туда.

в нормальных дистрах SELinux,

Никогда бы не подумал, что SELinux предназначе как раз для этого :)

У меня в системе установлен и запущен SELinux, но настройки не трогал, стоят по дефолту, и поэтому, видимо, проку от него нет, т.к. любые приложения лазят в Инет без спросу.

Но настраивать SELinux, если судить по манулам, очень кропотливое и запутанное дело, - намного сложнее, чем Droidwall, в котором нужно только расставить галочки насчет нужных приложений - и усё! :)

Если бы не невозможность сменить политику без ребута (я ведь не ошибаюсь, да?), то над SELinux'ом вполне можно было бы сделать такой же гуй.

любые приложения лазят в Инет без спросу

Он, наверное, и не включен у тебя ;)

Посмотри Firestarter.
Не совсем то, но всё же.

Посмотри Firestarter.

Стартер мне хорошо известен, при настройке iptables обхожусь консолью. Но конечно это не то, что ищу.

Тем не менее, это — и есть реализация белых списков, причём не только для интернета. Никто не запрещает настроить любой MAC так, чтобы он позволял всё, кроме интернета. Но гуя с галочками нет, это правда.

Тем не менее, это — и есть реализация белых списков, причём не только для интернета

А как он соотносится с SELinux? SELinux получается умеет работать с приложениями, а ФСтартер просто фронт-енд для iptables, не так ли?

Но гуя с галочками нет, это правда.

В свежеиспеченный андроиде есть, а древнем Гноме (сколько ему годков-то?) до сих по нет. Жаль, очень жаль...

На opennet.ru/tips/ встречал примеры обучаемого фильтра. Ищи по «интерактивный firewall», посмотри, может это то, что тебе более подойдёт.

SELinux — одна из реализаций MAC, развиваемая redhat, следовательно, фронтэнд вряд ли кто-то ещё напишет. Гном — их же. Пользовательский RH вообще нацелено больше на корпоративных юзеров, которым политику SELinux спустит сверху сисадмин, гуй для конечного пользователя ему не нужен.

iptables до недавних пор был практически везде достаточно долго. Поскольку netfilter по концепции проще, чем MAC, гуев к нему хватает.

В андроиде у разных программ ещё и разный UID, например. И реализация ровно одна, а разработчиков полно. Поэтому с файрволлами проблем нет. Нацелен, опять же, на конечных пользователей.

Вообще, для apparmor и tomoyo есть интерактивные тулзы, спрашивающие, разрешить ли действие foo приложению bar, но tomoyo 2.x не умеет в сеть (а 1.x — это патч к ядру), а apparmor я не щупал. Оба вроде как консольные.

Почитал тут... http://www.ibm.com/developerworks/ru/library/l-apparmor-4/

Пойду еще почитаю про Selinux, может, чего нового придумали в плане юзабельности.

Кроме того, если в системе заведется какая-нибудь зараза, то iptables не будет заранее о ней знать и пропускать ее пакеты наружу.
если в системе заведется какая-нибудь зараза

Скачать кряк бесплатно без смс deb пакет?

Это не совсем то. MAC ограничивает приложения вообще, как песочницы. Т.е. главная функция - чтобы программа Х имела доступ только к своему каталогу, и ничего более.
Тогда как firewall только режет доступ в сеть.

Фаерволл, который режет доступ в интернет отдельным приложениям _не_ путем закрытия портов, - имхо, не unix-way. Т.к. изначально он только фильтровал пакеты.

С другой стороны, если MAC мониторит системные вызовы на открытие файл, то он может мониторить системные вызовы на соединение с удаленным хостом.

он уже мониторит ВСЕ системные вызовы. просто настроить надо, все сетевое — заблокировать

А что это за приложения такие в линуксе?