Обратный брандмауэр или брандмауэры приложений?
Брандмауэры, как правило, используются для предотвращения попадания «плохих» пакетов из внешнего мира. Но в наши дни мы в основном отстаем от маршрутизаторов, и большая часть этой опасности смягчается маршрутизатором. Опасность, с которой мы сталкиваемся, в основном изнутри. Пресловутый троянский конь.
В мире Windows существует много брандмауэров приложений, и в OSX есть аккуратная утилита под названием «Little Snitch», которая обеспечивает работу приложений, не запрашивая данные вне их области действия. Даже на моем iPhone, сломанном джейлом, есть приложение, которое не позволяет приложениям получать доступ к веб-сайту вне их сферы действия. Удивительно, сколько данных они «проталкивают» на веб-сайты, такие как Scorecard.com и различные серверы Apple. Я отключаю их, и приложения все еще работают, поэтому я знаю, что в этом нет необходимости.
В мире Linux, похоже, мало в этом ключе. Вы можете запутать его с помощью iptables и некоторых других скриптов на Perl, чтобы получить результат очень неуклюжим образом.
Возьмите этот пост, на который часто ссылаются, когда задают такой вопрос.
Как контролировать доступ в Интернет для каждой программы?
Не отвечает на вопрос.
Они говорят о брандмауэрах, которые полностью отключают порт, а это не то, чего хочет большинство людей. Все, что нужно большинству людей, это то, что приложение X, которое должно быть локальным, не выходит и не общается в Интернете, когда ему не нужно общаться в Интернете. Или программа, которая имеет доступ к Yahoo Weather, отправляется на пять других сайтов, не связанных с ее работой по доступу к погоде. Или в одном из моих банковских приложений на iPhone выходит за пределы банка на сайт веб-трендов. Конечно, это не связано с Ubuntu, но является примером плохого поведения приложений.
Другое приложение, упоминаемое в этом посте, это Leopard Flower, который не обновлялся в течение года, и я не хотел бы, чтобы это продолжалось с выходом Ubuntu.
Все остальные публикации, связанные с этой областью, продолжают давать рекомендации для приложений, которые полностью ограничивают доступ к приложению, но не предоставляют такую простую идею «Маленькой сучки» о App X, которая хочет получить доступ к Web Y, Allow или Deny. Никаких сложных правил iptable, никаких полных отключений портов.
Я выглядел достаточно усердно или просто нет «Брандмауэра приложений» для Ubuntu?
4 ответа
Я не знаю, что тебе так плохо в apparmor. Конечно, это требует немного чтения man-страниц. Но кроме этого я нахожу его простым в использовании.
Я использовал персональные брандмауэры (то есть приложения) в прошлом, когда я все еще использовал Windows (на работе). Я не нахожу аппармора ни в каком случае, кроме отсутствия графического интерфейса. В свою очередь, однако, он предоставляет дополнительные функции безопасности - вы не можете предотвратить DoS-атаку программой, которая просто поглощает ресурсы с помощью персонального брандмауэра для Windows, в то время как вы можете сделать это с помощью apparmor.
Кроме того, у него есть отличные инструменты для диагностики и управления - найдите aa-undefined и все другие команды aa- * (сначала вам нужно установить apparmor-utils).
Вы увидите, что даже при минимальной конфигурации, которую вы получаете при установке системы Ubuntu по умолчанию, вы все еще довольно хорошо защищены. Это во многом связано с механизмом setuid и несколькими низкоуровневыми операциями, требующими привилегий в Linux - большинство приложений никогда не обращаются к сети напрямую.
Помимо этого, посмотрите на Tomoyo. Он еще не такой зрелый, как apparmor или SELinux, но я думаю, что стоит попробовать.
Могу ли я предложить вам взглянуть на мое приложение http://douaneapp.com/ .
Это брандмауэр приложения, ограничивающий доступ к сети для каждого приложения. Не стесняйтесь присылать мне комментарии и отзывы.
SE Linux является одним из примеров брандмауэра уровня приложений для Linux, но его довольно сложно реализовать, так как он очень тщательный.
AppArmor
AppArmor - это реализация модуля безопасности Linux для управления доступом на основе имен. AppArmor ограничивает отдельные программы набором перечисленных файлов и возможностями проекта posix 1003.1e.
ниже ссылка.