LINUX.ORG.RU

Фаервол в Ubuntu

 ,


2

2

Можно ли сделать, чтобы фаервол в убунту работал как в виндоус - при появлении новой активности появляется окошко с вопросом, что с такой активностью делать?


Ответ на: комментарий от LongLiveUbuntu

Открываешь для тех программ, которые ты считаешь безопасными

Если программа использует кучу динамически откерываемых портов?

FRCTLL
()
Ответ на: комментарий от unikum

«Свободный софт на то и свободный, что ты можешь сам провести ревизию кода. Если не в состоянии - не используй данный софт/ ОС.»

Интересное заявление. Предположу, что ты пользуеш Firefox или Chromium. У меня два вопроса: 1. Сколько времени у тебя занимает аудит одной из этих програм? 2. Ты проводишь аудит каждого нового билда?

GoNaX ★★★
()
Ответ на: комментарий от user08

Тебе же уже сказали - apparmor. Чего ты продолжаешь-то?

Suntechnic ★★★★★
()
Ответ на: комментарий от LongLiveUbuntu

Спасибо, LongLiveUbuntu. Попробую.

user08
() автор топика
Ответ на: комментарий от GoNaX

Для этого есть мейнтейнеры дистрибутивов. Если софт попал в стабильную ветку, значит с ним не обнаружено проблем.

vurdalak ★★★★★
()
Ответ на: комментарий от vurdalak

Стоп, стоп ребята. Парниша 3.14зданул чушь, там нет ни слова ни про пароною, ни про мейнтейнеров. Перечитайте бред этого олигофрена.

GoNaX ★★★
()
Ответ на: комментарий от GoNaX

Человек хотел сказать, что свободный софт красен возможностью проверить код. Не обязательно это делать лично.

vurdalak ★★★★★
()
Ответ на: комментарий от majei

Так и написал бы сразу что дурачок.

anonymous
()
Ответ на: комментарий от anonymous

Я тоже доверяю и спокойно и спользую, но «Если не в состоянии - не используй данный софт/ ОС». Вот мне и интересно, этот идиот хоть одну строчку проаудитил, перед тем как делать такие громкие заявления.

GoNaX ★★★
()
Ответ на: комментарий от user08

Можно пояснить, почему бред?

Потому что ты ошибся форумом, валика на винфак с такими взглядами, толстячок.

amorpher ★★★★★
()
Ответ на: комментарий от GoNaX

Понял уже, что поторопился. Эти треды можно по марковским цепочкам генерировать.

anonymous
()
Ответ на: комментарий от vurdalak

Он хотел написать одно, а написал совсем другое? libastral? ;)

GoNaX ★★★
()
Ответ на: комментарий от amorpher

Потому что ты ошибся форумом, валика на винфак с такими взглядами, толстячок.

Много пишете о том, что в безопасность открытого кода надо верить также как в бога, и никто не написал, почему можно предположить, что открытый код проверяется достаточно хорошо. Я к своему удивлению недавно обнаружил, что код трукрипта ни разу не проверялся.

user08
() автор топика
Ответ на: комментарий от anonymous

Но анон, СЕЛинукс был написан АНБ СШП, в таком случае он может чуть более, чем полностью состоять из закладок АНБ. Кто нибудь проводил аудит кода СЕЛинукс?

anonymous
()
Ответ на: комментарий от anonymous

СШП

Ватник закукарекал громче авроры :)

anonymous
()
Ответ на: комментарий от user08

Я к своему удивлению недавно обнаружил, что код трукрипта ни разу не проверялся.

У тебя выдалась удивительная возможность внести вклад в развитие опенсурса и провести аудит этого кода, дерзай.

anonymous
()
Ответ на: комментарий от user08

Молодец, продолжай, разрешаю. Пройдите в правую комнату, там другие таблетки сегодня у нас.
//вот только я ничего лично не писал

amorpher ★★★★★
()

А вообще, блин, накинулись на человека, потому что он хочет гуёвый фаервол. Если бы он был, я бы врядли им пользовался, но я НЕ ПРОТИВ того что бы он был. А даже ЗА, что под самую удобную для меня ОС, было как можно больше програм.

Уже успели его послать на три буквы винду, обвинить его в бреду и т.п.

Ну как маленьким нужно обьяснять, что открытый и закрытый софт всегда будут сосуществовать, возможно большинство програм через 50 лет будет открытыми, но закрытые будут всегда. Нафига страдать этим фанатизмом? А народ?

Что-то я очень сомниваюсь, что тут хоть кто-то из ЛОРовцев пользуется той железкой и ОСью как у Столмана. Это получается двойные стандарты?

GoNaX ★★★
()
Ответ на: комментарий от GoNaX

он хочет гуёвый фаервол. Если бы он был, я бы врядли им пользовался, но я НЕ ПРОТИВ того что бы он был. А даже ЗА, что под самую удобную для меня ОС, было как можно больше програм.

Смотри какой заманчивый шанс внести вклад в опенсурс! А ведь напитонить морду к iptables дело то нехитрое.

anonymous
()
Ответ на: комментарий от i_gnatenko_brain

На чем основано данное утверждение? Ведь у АНБ длинные руки, они могут схватить за шарики любого «эксперта», проводящего аудит.

anonymous
()
Ответ на: комментарий от anonymous

Всегда считал, если человек что-то спрашивает, значит у него есть задние мысли и это неспроста, возможно заговор.

amorpher ★★★★★
()
Ответ на: комментарий от FRCTLL

Но он же не удовлетворяет ТЗ топикстартера.

anonymous
()

Жестоко. Очень жестоко. Помню, в мандуриве такая фича была. Благо, легко отключалась.

// ответ: можно, но не советую

Anon
()
Ответ на: комментарий от FRCTLL

Как по мне, так самая лучшая морда для iptables — это shorewall. Правда, не все умеет, собака. DNAT ручками писать пришлось.

Anon
()
Ответ на: комментарий от user08

как обычно решается вопрос в линуксе с нежеланием того, чтобы программы проявляли сетевую активность.

Недаванием программам такую активность проявлять. Настройками программы, а не каким-то там непонятным файрволом.

AS ★★★★★
()
Ответ на: комментарий от AS

А если например топикстартер наустанавливал море зондов и у него все тело от них зудит, а разбираться в настройках программ ему лень + Chrome еще сам по себе трафик на сервера гугла гоняет, то как ему быть?

anonymous
()

Давным, давно настраивал firehol (надстройка над iptables) так, чтобы разрешать выход в интернет только строго определённым программам. Во времена жпрса, вопрос был более чем актуален. Так, вот, после очередного обновления ядра правила стали вываливаться с ошибкой, перестали работать. Оказалось, что данную фичу, определение принадлежности трафика к имени программы выпилили. Причина - вопросы безопасности, тогда я не осилил понять в чём проблема, а потом не интересовался.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от anonymous

Если он в такой ситуации отключит хром от сети, то этот хром для него станет самой полезной программой. Им можно будет сохранённые html страницы смотреть.

sin_a ★★★★★
()

Сейчас можно устанавливать разрешения для пользователя. Создай пользователя inet, разреши доступ в сеть только ему и запускай приложения от его имени.

Jurik_Phys ★★★★★
()
Ответ на: комментарий от sin_a

Как вариант страницы можно тянуть при помощи wget, а просматривать в изолированном Хроме.

anonymous
()
Ответ на: комментарий от Jurik_Phys

А если злоумышленник запустит эксплойт?

anonymous
()
Ответ на: комментарий от GoNaX

Интересное заявление. Предположу, что ты пользуеш Firefox или Chromium. У меня два вопроса:
1. Сколько времени у тебя занимает аудит одной из этих програм?
2. Ты проводишь аудит каждого нового билда?

А ты им в виндовом файрволе выход в сеть запретишь ? ;-)

AS ★★★★★
()

Это не задача файрвола. Смотри в сторону SELinux. Правда, под убунтой классического SELinux нет. Есть AppArmor. Должен делать все то же самое, но не так тонко как АНБшная реализация.

Macil ★★★★★
()
Ответ на: комментарий от Macil

Хороший повод не пользоваться поделиями РедХата, такими как Федора кстати, Марк заботится о юзерах и не добавляет зонды от АНБ.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.