Есть ли какой-либо Брандмауэр прикладного уровня для Ubuntu 16.04? (с GUI)
Я должен признаться, что я очень плохо знаком с миром Linux, и существуют понятия, которые кажутся очень незнакомыми мне.
Одной вещью, которую я пропускаю больше всего, является хороший все же брандмауэр уровня простого приложения. На данный момент со всей этой распространяющейся навязчивой и постоянной возможностью соединения к Интернету это - необходимость для знания то, что точно является компьютерным выполнением, почему и с кого. Анализатор протокола в порядке, но слишком недружелюбный и трудоемкий, чтобы "проанализировать", который практически бесполезен для домашних пользователей.
Я обнаружил много программ в средах Windows, которые не должны соединяться с Интернетом, но они делают (и с моим ZoneAlarm свободный брандмауэр, я могу остановить их).
С Gufw (и несколько других) необходимо знать, который делают приложения Вы уже установили (и мы знаем, что это почти невозможно с этой современной ОС с миллиардами строк кода).
То, что я ищу, является брандмауэром, который контролирует NIC/соединение WAN и обнаруживает любую программу/приложение или безотносительно попытки "говорить" через него заранее, независимо порт, пытающийся использовать (должен приложений, я упомянул, что более ранняя попытка соединить использование хорошо знает порты TCP: 80, 443, 8080). Это существует? (В противном случае затем, как я знаю то, что делает мой компьютер наверняка?)
4 ответа
<час>Таможня является персональным брандмауэром, который защищает конфиденциальность пользователя, позволяя пользователю управлять, какие приложения могут соединиться с Интернетом от своего компьютера GNU/Linux.
Установка
До сих пор (2017/05/22) нет доступных пакетов Ubuntu. Необходимо создать его из источника.
Эти инструкции по установке основаны на информации от таможня Wiki и протестированный на 64-разрядной Ubuntu 16.04.2.
Открывают терминал ( Ctrl + Высокий звук + T ) для выполнения команд.
Подготовка
Обновление Ваша система:
sudo apt update
sudo apt full-upgrade
, Если Вы получаете уведомление, просящее перезапускать Ваш компьютер, затем перезапустите его.
Установка зависимости
sudo apt install git build-essential dkms libboost-filesystem-dev libboost-regex-dev libboost-signals-dev policykit-1 libdbus-c++-dev libdbus-1-dev liblog4cxx10-dev libssl-dev libgtkmm-3.0-dev python3 python3-gi python3-dbus
Создают каталог для компиляции
cd
mkdir Douane
cd Douane
Сборка модуль ядра
git clone https://github.com/Douane/douane-dkms
cd douane-dkms
sudo make dkms
Проверка, если модуль был создан и установлен правильно:
lsmod | grep douane
необходимо видеть что-то как:
douane 20480 0
Сборка демон
cd ~/Douane
git clone --recursive https://github.com/Douane/douane-daemon
cd douane-daemon
make
sudo make install
Сборка диалоговый процесс
cd ~/Douane
git clone --recursive https://github.com/Douane/douane-dialog
cd douane-dialog
make
sudo make install
Запускают диалоговый процесс:
/opt/douane/bin/douane-dialog &
Затем проверка, если это работает:
pgrep -a douane-dialog
необходимо видеть что-то как:
21621 /opt/douane/bin/douane-dialog
Сборка конфигуратор
cd ~/Douane
git clone https://github.com/Douane/douane-configurator
cd douane-configurator
sudo python3 setup.py install
Запускает демона и устанавливает автоматический запуск
, я должен был вставить следующий текст в файл /etc/init.d/douane для включения автоматического запуска демона:
### BEGIN INIT INFO
# Provides: douane
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Douane firewall
### END INIT INFO
Открывают файл для редактирования:
sudo nano /etc/init.d/douane
Затем вставляют вышеупомянутый текст после описания программы. Нажмите Ctrl + O , Входят для сохранения, затем Ctrl + X для выхода из редактора.
Это - первая 21 строка файла после того, как я вставил текст:
#!/bin/bash
#
# douane This shell script takes care of starting and stopping
# douane daemon (A modern firewall at application layer)
#
# Author: Guillaume Hain zedtux@zedroot.org
#
# description: douane is the daemon process of the Douane firewall application. \
# This firewall is limiting access to the internet on application bases.
### BEGIN INIT INFO
# Provides: douane
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Douane firewall
### END INIT INFO
# Source function library.
. /lib/lsb/init-functions
Теперь можно настроить автоматический запуск и запустить демона:
sudo systemctl daemon-reload
sudo systemctl enable douane
sudo systemctl start douane
Активируют фильтр и автоматический запуск, диалоговое окно
Запускает конфигуратор:
douane-configurator
Затем удостоверяются переключатели Таможня Использования для фильтрации моего сетевого трафика и , Таможня Автоматического запуска на начальной загрузке оба включена.
можно рассмотреть правила фильтрации в вкладка Rules . При щелчке правой кнопкой по правилу Вы получаете опцию удалить его.
Тест
, Если все прекрасно, необходимо видеть, что окно Douane просит разрешение, когда Вы открытые приложения, который использует сетевые соединения.
Это - действительно хороший вопрос, но я ненавижу вопросы как это, потому что на них действительно трудно ответить без того, чтобы отрываться как высказывание, что безопасность не важна.
Настолько сначала, позвольте мне сказать, что безопасность важна, но что Linux обрабатывает ее очень по-другому затем, Windows делает.
Так позволяет, занимаются Вашим вопросом.
Первый там не будет исходящим брандмауэром, который работает таким же образом зональным предупреждением. Linux просто не имеет большой потребности в одной. Многие работа приложений в клиент-серверной архитектуре даже при том, что Вы используете их на той же машине. Xorg является ярким примером. Сначала у Вас есть сервер (в этом случае часть, которая привлекает экран), и клиент (gedit) gedit говорит с сервером о рисовании, это - кнопки, помещая это - текст и так далее. Даже что-то как простая OS мышь имеет эту ту же архитектуру (или мог иметь). Программа действует как сервер, прислушивающийся к информации и отсылающий данные, когда это получает его, затем клиент "соединяется" с тем "сервером мыши" и ожидает информации.
Это столь распространено в Linux, что, если необходимо было создать "брандмауэр", который попросил у разрешения каждого сетевого соединения затем, Вы, вероятно, не сможете настроить его, потому что это не могло соединиться со своим собственным сервером.
Это - весь очень грубый пример, часть его вводит в заблуждение, потому что это таким образом высокий уровень. Но это все еще очень верно.
Для защиты нас пользователи Linux от этого у нас есть ряд двух очень простых правил, которые делают очень хорошее "основное" задание.
1-й, никакой пользователь кроме корня не может открыть порт ниже 1024. (снова очень высокий уровень). Это означает даже выполнять FTP-сервер (на стандартном порте), у Вас должен быть корневой доступ. Как пользователь можно обычно открывать "high ports" (те, которые выше 1024). Но см. правило два.
2-й. никакой процесс не может получить доступ ни к какому файлу, к которому не мог получить доступ пользователь, начинающий процесс. (снова очень высокий уровень) Поэтому, если бы "coteyr" должны были запустить FTP-сервер, то тот FTP-сервер в худшем случае (высокий уровень) только имел бы тот же самый доступ как пользователь coteyr, который запустил его.
из-за комбинации этих двух правил, "программного обеспечения", которое спрашивает каждый раз, когда что-то пытается соединиться, брандмауэр просто мешает, и нет большого спроса на него.
, Который сказал, можно всегда создавать исходящее правило брандмауэра, и во многих случаях это - вероятно, не плохая идея. Многие сервисы могут быть (и по умолчанию), настроенный для использования основанных на файле сокетов (или базирующаяся память) и не основанных на сети сокетов.
Входящее правило брандмауэра обычно закрывает любые нечетные зевки, перенесенные правилом 1 или 2.
, Моя точка - это. Безопасность важна, и я не пытаюсь сказать, что это не, это находится просто здесь на земле Linux, у нас есть различные инструменты и цели. Я рекомендовал бы, чтобы Вы изучили пользователя Linux и полномочия группы и затем использовали инструмент как gfw и IPTABLES для заполнения любых разрывов.
Существует новый проект под названием OpenSnitch, описанный по телефону
, страница проекта https://www.opensnitch.io /
В этой точке, это считают альфа-версией программного обеспечения, и странно это записано в Python, но по крайней мере это - новая попытка, тогда как Таможня является очень старой программой, что (я думаю), намного более твердо установить.
Правовая оговорка: Я лично не протестировал ни одну программу, я просто пытался найти, существуют ли какие-либо другие опции и заметили, что никто еще не упомянул OpenSnitch здесь.
OpenSnitch, о котором упоминалось здесь, больше не находится в активной разработке . Есть форк , хотя он продолжает разработку, которая во многих областях улучшилась по сравнению с уже не поддерживаемым OpenSnitch.
Как и исходный проект, форк OpenSnitch представляет собой бесплатный брандмауэр уровня приложения с открытым исходным кодом для Linux, состоящий из демона (написанного на Go) и графического интерфейса пользователя (PyQt5). Так же, как и исходный проект, этот форк находится в стадии разработки, и на его странице проекта есть сообщение: «Не ожидайте, что он будет свободен от ошибок, и не полагайтесь на него для какого-либо типа безопасности».
Приложение отслеживает исходящие соединения, которые ваши приложения пытаются установить, предотвращая или разрешая их соединение на основе набора правил (пользователю предлагается разрешить или запретить доступ, если существующие правила не найдены). Приложение создано на основе Little Snitch, коммерческого брандмауэра для хост-приложений для macOS.
Для Ubuntu есть пакеты DEB, доступные для загрузки в проекте GitHub .
Источник .