Обратный брандмауэр или брандмауэры приложений?

10

Брандмауэры обычно используются для предотвращения попадания плохих "пакетов" из внешнего мира. Но в наши дни мы в основном отстаем от маршрутизаторов, и большая часть этой опасности смягчается маршрутизатором. Опасность, с которой мы сталкиваемся, в основном изнутри. Пресловутый троянский конь.

В мире Windows есть много брандмауэров приложений, а OSX имеет опрятную утилиту под названием "Маленький снитч", с помощью которой эта работа обеспечивает работу приложений, не запрашивая данные за пределами их области. Даже мой iPhone, взломанный в тюрьме, имеет приложение, которое предотвращает доступ приложений к веб-сайту за пределами их возможностей. Его удивительно количество данных, которые они "нажимают" на веб-сайты, такие как scorecard.com и различные серверы Apple. Я отключил их, и приложения все еще работают, поэтому я знаю, что это не нужно.

В мире Linux, похоже, мало в этом ключе. Вы можете убить его iptables и некоторые другие скрипты в perl, чтобы получить результат очень неуклюжим способом.

Возьмите этот пост, на который часто ссылаются, когда задается такой вопрос.

Как управлять доступом в Интернет для каждой программы?

Он не отвечает на вопрос.

Они говорят о брандмауэрах, которые полностью отсекают порт, который не то, что хотят большинство людей. Все, что нужно большинству людей, это то, что приложение X, которое должно быть локальным приложением, не выходит и не разговаривает в Интернете, когда ему не нужно общаться в Интернете. Или программа, которая обеспечивает доступ к погоде Yahoo, касается пяти других сайтов, не связанных с ее работой по обеспечению доступа к погоде. Или в моем одном из моих банковских приложений на iPhone выходит за пределы банка на веб-сайт webtrends. Уверен, что он не связан с Ubuntu, но является примером приложений, которые ведут себя плохо.

Другим приложением, упомянутым в этом сообщении, является Leopard Flower, который не обновлялся через год, и мне бы очень хотелось, чтобы это продолжалось с предстоящим выпуском Ubuntu.

Все другие сообщения, связанные с этой областью, продолжают давать рекомендации для приложений, полностью отключающих доступ для приложения, но не предусматривают, что простая идея "Little Snitch" App X хочет получить доступ к веб-Y, разрешить или запретить доступ. Нет сложных правил iptable, нет обрезанных портов.

Я достаточно пристально посмотрел или просто нет "брандмауэра приложений" для Ubuntu?

    
задан Meer Borg 27.03.2013 в 23:29
источник

4 ответа

3

AppArmor

AppArmor - это реализация модуля безопасности Linux для управления доступом на основе имен. AppArmor ограничивает отдельные программы набором наборов файлов и возможностями проекта posix 1003.1e.

ниже ссылки.

Ссылка

    
ответ дан Osama El-gedawy 04.04.2013 в 16:20
1

SE Linux - один из примеров брандмауэра уровня приложений для Linux, но его довольно сложно реализовать как очень тщательно.

    
ответ дан Arup Roy Chowdhury 30.03.2013 в 02:44
1

Я не знаю, что вы так плохо относитесь к аперсору. Конечно, это требует немного чтения справочных страниц. Но кроме этого, я нахожу его простым в использовании.

В прошлом я использовал личные (например, приложения) брандмауэры, когда я все еще использовал Windows (на работе). Я не нахожу apparmor каким-либо образом недостающим, за исключением отсутствия графического интерфейса. В свою очередь, однако, он предоставляет дополнительные функции безопасности - вы не можете предотвратить DoS-атаку программой, которая просто использует ресурсы с помощью персонального брандмауэра для Windows, в то время как вы можете сделать это с помощью apparmor.

Кроме того, он имеет хорошие инструменты и инструменты управления - поиск aa-unconfined и всех других команд aa * (сначала вам нужно установить aparmor-utils).

Вы увидите, что даже при минимальной конфигурации, которую вы получаете при установке системы Ubuntu по умолчанию, вы все еще достаточно хорошо защищены. Это имеет много общего с механизмом setuid и несколькими операциями низкого уровня, требующими привилегий для Linux - большинство приложений никогда не имеют доступа к сети напрямую.

Кроме того, посмотрите, Tomoyo. Это еще не так зрело, как приступ или SELinux, но я думаю, что это стоит того.

    
ответ дан user625488 24.03.2014 в 02:34
1

Могу ли я предложить вам посмотреть мое приложение Ссылка .

Это брандмауэр приложения, ограничивающий доступ к сети для каждого приложения. Не стесняйтесь присылать мне комментарии и отзывы.

    
ответ дан ZedTuX 27.04.2014 в 20:10