LINUX.ORG.RU

Запретить Linux приложению доступ в сеть

 , , , ,


1

2

Ни разу не настраивал файрвол или другие подобные вещи в линукс. Есть ли простой и надежный способ запретить приложению выходить в сеть? Какой вообще способы бывают?

Вдогонку вопрос: Есть ли какая-нибудь разница, установлено ли это приложение через стандартный менеджер ubuntu - apt, или оно скачано и запускается из Appimage?

Ответ на: комментарий от LinuxDebian

Когда до виндузятников дойдет замечательная идея настроить firewall по белым спискам? Тогда и отдельные приложения сажать в песочницу (из которой 1000 и 1 способ вылезти есть) будет не нужно.

peregrine ★★★★★
()
Ответ на: комментарий от WereFox

Почему это? Рут и AFWall+. Вполне рабочее решение — пользуюсь уже лет пять, как минимум. А вместе с цианогено-линеечным Privacy Guard, так вообще конфетка получается.

ShizuShidou
()
Ответ на: комментарий от ShizuShidou

А вот когда для твоей модели нет циана (lineage) то это очень печально. Как его вообще для новых моделей устройств собирают?

anonymous
()
Ответ на: комментарий от peregrine

В семерке и выше даже в home-версии есть возможность сделать белый список в стандартном firewall.

anonymous
()
Ответ на: комментарий от anonymous

Тут довольно высокий порог вхождения (имхо). Плюс, есть неиллюзорный шанс превратить телефон в кирпич.

Собственно сначала надо побороть загрузчик, обеспечив возможность грузить код, не подписанный производителем. Иначе — дальше можно не продолжать. Потом нужно описать параметры устройства и вытащить из оригинального рома всю нужную для работы фирмварь (gsm, bluetooth, wi-fi, камера и т.п.). При этом, скорее всего, понадобится патчить ядро. И только обеспечив запуск ядра и recovery, можно пытаться собирать систему из исходников.

В общем, процесс столь сложен, что проще сразу покупать телефон, основываясь на списке поддерживаемых устройств. Впрочем, если тебе интересен пример:

ShizuShidou
()
Ответ на: комментарий от WereFox

Штатной для чего? Для циана и линейки она вполне себе штатная. Как и iptables, если что. А гуглу, опсосам и сотням голодных кетайцев наши страдания по безопасности, приватности и минимизации потребления трафика сказать до какого места?

Даже в оффтопике можно настроить фаервол для каждого отдельного приложения, только делать это без удобных фронтэндов, типа BiniSoft'овского Windows Firewall Control, так себе удовольствие.

ShizuShidou
()
Ответ на: комментарий от WereFox

Цитирую:

Отбирать доступ в сеть на ведроиде нельзя.

Так кто, говоришь, чего сделал и теперь пытается неумело троллить? И это, заметь, ещё помимо стрёмноватого способа с завёрнутым на себя vpn, как в eu.faircode.netguard. Никак нельзя, ага. А про «штатные средства» это ты со своим воображаемым собеседником дискутировал? В треде про это нет ни слова, если чё.

ShizuShidou
()
Ответ на: комментарий от ShizuShidou

А про «штатные средства» это ты со своим воображаемым собеседником дискутировал?

Ты дебил? Прочитать пробовал, на что я отвечал?

В Android вроде можно с 6-ё версии

WereFox ★☆
()
Последнее исправление: WereFox (всего исправлений: 1)

. Есть ли простой и надежный способ запретить приложению выходить в сеть?

iptables -P OUTPUT DROP
iptables -P INTPUT DROP
iptables -P FORWARD DROP

=)

Deleted
()
Ответ на: комментарий от LinuxDebian

Как это сделать

Сама идея это делать нездоровая.

peregrine ★★★★★
()
Ответ на: комментарий от PeKar

В целях повышения образованности вопрос

у пользователя может не быть графической подсистемы что бы открыть окошко

А в этих линуксах разве нельзя, чтобы передаёшь сообщение абоненту user через некоторую message query, а с той стороны это сообщение принимает zenity, wall или скрипт, в зависимости от ситуации?

muon ★★★★★
()

А в этих линуксах разве нельзя, чтобы передаёшь сообщение абоненту user через некоторую message query, а с той стороны это сообщение принимает zenity, wall или скрипт, в зависимости от ситуации?

Что бы принять какое либо сообщение - нужно быть запущенным. И даже если принять сообщение, то как и когда его выводить? Посреди вывода другой программы? А если в это время работает конвейер? А если пользователь открыл несколько сессий одновременно, то на какой терминал делать вывод?

По хорошему поставленную тобой задачу можно решить если сделать общий стандарт консольных уведомлений. Но если этот стандарт кого то в чём то не устроит - то его проигнорируют. Кроме того есть не только программные терминалы но и аппаратные которые и поныне кое где используются.

То что ты говоришь, противоречит идеологии UNIX. Правильно, будет сделать специальную утилиту, которая будет для всех своих потомков закрывать все порты кроме указанных, устанавливать для них чёрные и белые списки портов и адресов. Но такой утилиты пока ещё не сделали.

PeKar
()
5 апреля 2018 г.
Ответ на: комментарий от PeKar

В linux это делается просто - закрываются порты. Ибо заранее определено с какими портами работают те или иные программы.

Шедеврально.

Выдели 2 часа на осмысленное прочтение

А в винде ставишь Comodo (а то и дефольный firewall) и в два клика настраиваешь. Странно ведь Linux славится гибкой поддержкой сети.

Сама идея это делать нездоровая
Нельзя настолько не доверять разработчикам

Почему же, можно. Вот я пользуюсь проприетарным графическим просмотрщиком XnView, потому что других нормальных просмотрщиков на Линуксе нет (имхо). И торрент клиентом Tixati. Откуда мне знать, что эти проги не полезут в сеть стучать (раз в месяц скажем, попробуй отследи)? Ты такой наивный доверчивый?

anonymous
()
Ответ на: комментарий от anonymous

Ппц докатились... Жырнющий анонимус-некрофил!

mos ★★☆☆☆
()

запускайся с виртуалки параноик гребаный
выдерни сетевой кабель

Когда нечего сказать начинаются глупые шутки. Почитал в интернете обсуждение этого вопроса. Просто удивительно как линуксоиды могут записывать очевидный минус в плюс, лишь бы не как у винды. Вам бы на федеральных каналах работать.

Вот еще запомнилось как линуксоиды расхваливали, что система не смотрит расширение файлов, а парсит содержимое. А на деле, это же дыра в безопасности, тормоза если много файлов, незнание новых форматов. Да и смотрит она на расширение. Недавно AVI помеченный как FLV в свойствах файла ничтоже сумнящеся показала как Flash видео. Сорри за офтоп. Вашим доводам больше не верю.

anonymous
()
Ответ на: комментарий от anonymous

торрент клиентом
Откуда мне знать, что эти проги не полезут в сеть

Тут без помощи экстрасенсов не обойтись.

anonymous
()
Ответ на: комментарий от anonymous

А в винде ставишь Comodo (а то и дефольный firewall) и в два клика настраиваешь.

Хочешь, я тебе на qt окошко запилю, тоже будешь «в два клика настраивать» и тоже работать не будет?

Нельзя приложению запретить доступ в интернет не запихнув его в полноценную песочницу, иначе оно получет этот самый доступ тысячей обходных путей. selinux давно готов.

anonymous
()
Ответ на: комментарий от anonymous

Вот еще запомнилось как линуксоиды расхваливали, что система не смотрит расширение файлов, а парсит содержимое. А на деле, это же дыра в безопасности, тормоза если много файлов, незнание новых форматов. Да и смотрит она на расширение. Недавно AVI помеченный как FLV в свойствах файла ничтоже сумнящеся показала как Flash видео. Сорри за офтоп. Вашим доводам больше не верю.

Чушь. Но лень опровергать эти глупости.

das_tier ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.