LINUX.ORG.RU

OpenSnitch — интерактивный сетевой экран

 , , ,


6

4

Представлен проект OpenSnitch, в рамках которого подготовлен свободный аналог проприетарного сетевого экрана Little Snitch.

Программа представляет собой интерактивную оболочку для подсистемы Netfilter ядра Linux, и обладает следующими возможностями:

  • Отслеживание сетевой активности приложений и различных процессов в режиме реального времени;
  • Вывод экранных уведомлений с подробной информацией о приложении, начавшем сетевую активность (имя процесса и его идентификатор, локальный IP адрес, IP адрес назначения, порт);
  • Гибкий механизм создания правил: блокировка или разрешение выхода в сеть всему приложению или одному конкретному процессу, учёт пользователей, хостов и портов; разрешения в рамках текущей сессии либо на постоянной основе;
  • Ведение подробной статистики блокировок и сетевой активности приложений.

Программа состоит из двух частей: системного демона, написанного на языке Go и работающего с правами root - opensnitchd, взаимодествующего с подсистемой Netfilter через libnetfilter-queue, вносящего изменения в правила Iptables и контролирующего сетевой трафик через libcap; графического интерфейса, построенного с использованием PyQt5 и работающего в непривелегированном режиме. Правила блокировок хранятся в формате JSON, взаимодействие графического интерфейса и системного демона осуществляется по протоколу gRPC.

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от anonymous

Вообще я его (OpenSnitch) воспринимаю больше как средство управления легитимными подключениями, а не как средство основной защиты от не легитимных.

mandala ★★★★★
()
Ответ на: комментарий от mandala

Дело хозяйское, статистику какого-нибудь vscode оно заблокирует.

anonymous
()
Ответ на: комментарий от mandala

Ну и какой у тебя use case ими управлять? Если ты не доверяешь софту, который у тебя установлен, то что он делает на твоем компе? На моей памяти под виндой их использовали в основном чтобы не давать пиратскому софту стучаться домой.

ptarh ★★★★★
()
Ответ на: комментарий от ptarh

У меня дома вообще ни чего нет «для безопасности». А если заморачиваться безопасностью, то это всегда комплексная задача, одним файрволом не обойдешься.

mandala ★★★★★
()

Наконец-то в линупсе есть такой фаер! Мечтал многие годы, серьезно. А интерфейс на PyQt вообще ня! Очень хорошо. Вот стал Steam/Linux, теперь это. Скоро вирусы будут.

I-Love-Microsoft ★★★★★
()
Ответ на: комментарий от SakuraKun

если для проги назначать cgroups - то вроде как можно всем потомкам скопом отрубать

JL
()
Ответ на: комментарий от JL

а гуёвая тулза для динамической вот как в сабже настройки к ним есть?

А динамично ты охудеешь такое количество настроек вводить. Хотя в федоре я видел какой-то гуй, через который ты можешь добавить уже ограниченому приложению прав, если оно что-то запрещённое захочет сделать.

anonymous
()
Ответ на: комментарий от anonymous

Прописать в ~/.bashrc алиас для судо, который убьёт opensnitch к херам.

тоесть вы согласны что линукс - дырявое решето и не защищает пользователя от программ вообще никак?

JL
()
Ответ на: комментарий от mogwai

Эта та фигня которая на оффтопике ловит свеженьких троянов закинутых через дыры в системе, до того как они появятся в базах антивируса...

LinuxDebian ★★★★
()
Ответ на: комментарий от JL

а что мешает в православном линуксе реализовать фаервол без дырок?

Ты так ставишь вопрос, будто в венде и макоси фаерволы без дырок?

anonymous
()
Ответ на: комментарий от JL

тоесть вы согласны что линукс - дырявое решето и не защищает пользователя от программ вообще никак?

Жирный, любая система без mac - шерето. Тот же трюк сработает и в маке и в венде.

anonymous
()
Ответ на: комментарий от JL

тоесть вы согласны что линукс - дырявое решето и не защищает пользователя от программ вообще никак?

А в линуксе, тебе уже сказали, apparmor и selinux.

anonymous
()
Ответ на: комментарий от ptarh

Если ты не доверяешь софту, который у тебя установлен, то что он делает на твоем компе?

тоесть вы скайпом, телеграмом и вайнопрогами в принципе не пользуетесь?

JL
()
Ответ на: комментарий от JL

тоесть вы скайпом, телеграмом и вайнопрогами в принципе не пользуетесь?

тоесть ви скайпу и телеграму доступ в интернет решили ограничить?

anonymous
()
Ответ на: комментарий от anonymous

нет, я ставлю вопрос что в опенсорсе можно сделать и недырявый фаервол в отличии от

но действительно

любая система без mac - шерето

а в лине с mac - никак фактически

JL
()
Ответ на: комментарий от anonymous

тоесть ви скайпу и телеграму доступ в интернет решили ограничить?

а почему бы и нет - чтоб на кремлин.ру не ходило

или на сайт мелкософта за списком забаненых версий скайпа (который ещё 4)

JL
()
Ответ на: комментарий от anonymous

хм хм хм, окей, оно хотя бы существует

а ещё где, кроме генты, используют selinux, да ещё для не избранных прог, а для всех подряд?

JL
()
Ответ на: комментарий от JL

а ещё где, кроме генты, используют selinux, да ещё для не избранных прог, а для всех подряд?

РКН зобанил гугл? В федоре.

anonymous
()
Ответ на: комментарий от JL

скайпом

Skype4b пользуюсь, для пользовательской херни на электроне у меня нет применения.

телеграмом

Пользуюсь, ибо доверяю (там ничего в _клиенте_, чему можно не доверять)

вайнопрогами

Этим говном сами внутреннего мазохиста поглаживайте. У меня на макоси и родного софта достаточно.

ptarh ★★★★★
()
Ответ на: комментарий от ptarh

вайнопрогами

Этим говном сами внутреннего мазохиста поглаживайте. У меня на макоси и родного софта достаточно.

что, и heroes3 есть? и даже доверяемые?

JL
()
Ответ на: комментарий от ptarh

Skype4b пользуюсь, для пользовательской херни на электроне у меня нет применения.

Skype4b это ж Lync или другое? Lync - не знаю на чём оно, но 400 метров на окошко с контактами и безбожные тормоза и подвисоны на любое действие (на win7, версию Lync не смотрел)

JL
()

Операторы на магистральных каналах успевать будут?

imul ★★★★★
()
Ответ на: комментарий от JL

что, и heroes3 есть? и даже доверяемые?

Некрофилией не интересуюсь, в моей стране за нее положена уголовная ответственность. Для игорь у меня есть плойка pro и 4к ящик с HDR. Сами гнитесь надо мониторами в свободное время.

ptarh ★★★★★
()
Ответ на: комментарий от JL

Skype4b это ж Lync или другое? Lync - не знаю на чём оно, но 400 метров на окошко с контактами и безбожные тормоза и подвисоны на любое действие (на win7, версию Lync не смотрел)

Они это говно переписали, даже нативное теперь. Все еще подтормаживает местами (впрочем не ручаюсь, что это не наши рукожопки так exchange настроили), но в целом уже ок.

ptarh ★★★★★
()
Ответ на: комментарий от avolver

Ну это немного не тот уровень мощности. Сойдет может как замена встроенного спотлайта для запуска софта и поиска документов, но я почти уверен, что и спотлайт его покроет как бык корову.

ptarh ★★★★★
()
Последнее исправление: ptarh (всего исправлений: 1)
Ответ на: комментарий от LinuxDebian

Прям вот сама ловит через libastral определяя нужен этот коннект пользователю или нет. Или таки пользователя доколупывает окошком «разрешить ли?» Так он тыкать «разрешить» приучен.

mogwai ★★★★★
()
Ответ на: комментарий от bender

как такая же штука в середине 2000х называлась под виндой

atguard

WindowsXP ★★
()
Ответ на: комментарий от bender

О боги)! Вот и настал момент, когда начинаешь рассказывать легенды и сказы про ПО, о котором более молодые никогда не слышали). Вон какая ты, старость)...

cheshire_cat ★★
()

OpenSnitches get OpenStitches.

AP ★★★★★
()
Ответ на: комментарий от bender

Кто помнит, как такая же штука в середине 2000х называлась под виндой?

Их дохрена было. Я ZoneAlarm пользовался. И даже не в середине 2000x, а чуть раньше.

И да, полностью интерактивным его можно назвать, если он не просто даёт GUI для настройки фаервола, а позволяет прямо по приходу соединения задать вопрос, принять или отвергнуть и запомнить ли выбор. Сабж так может? Если да - очень хорошо, одним пробелом в линукс-софте меньше.

hobbit ★★★★★
()

вот если бы назвали OpenSnatch, было бы прикольнее

Harald ★★★★★
()

У виндовых пользователей есть привычка закрывать неглядя всплывающие окна. теперь и у линуксоидов будет.

ugoday ★★★★★
()

Да вы посмотрите, как заманивают дурачков на Little Snitch

As soon as you’re connected to the Internet, applications can potentially send whatever they want to wherever they want. Most often they do this to your benefit. But sometimes, like in case of tracking software, trojans or other malware, they don’t. But you don’t notice anything, because all of this happens invisibly under the hood.Little Snitch makes these Internet connections visible and puts you back in control!

Вы только заплатите нам 45 €, и все у вас будет пучком.

Odalist ★★★★★
()
Ответ на: комментарий от ptarh

Лучше бы от того же производителя аналог LaunchBar осилили, но кишка тонка.

Лучше бы Quicksilver осилили, хотя кто его помнит…

anonymous
()

Дождались однако. Но лучше поздно чем никогда.

anonymous
()
Ответ на: комментарий от anonymous

Лучше бы Quicksilver осилили, хотя кто его помнит…

Думаю, что LB в своей идеологии «Object -> Action» больше всего на него похож (не знаю на самом деле кто там у кого скопипаздил, LB вроде был первым из ныне живущих ланчеров. Я тогда еще маленький был.)

С чем я никогда не смог подружиться, это Alfred, несмотря на модерновый полувизуальный редактор workflows. Все эти аббревиатуры на каждый чих, паршивая работа с файлами и выделенным текстом, семантика типа «Action -> Object»... Njet.

ptarh ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.