Как запретить всем программам выходить в Интернет?

прокси

к Интернету автоматически подключается NetworkManager (Ubuntu). Можно ли там задать чтобы ВСЕ подключение шли через прокси на локалхосте?

Через IPTALBES такое можно сделать?

NetworkManager (Ubuntu)

Убрать из автозагрузки и включать по необходимости?

1) selinux/apparmor

2) ipables --uid-owner

а если сделать «ipables --uid-owner» для юзера, то рут сможет попасть в интернет? а «sudo apt-get»? (Хотелось бы чтобы рут не мог выходить в сеть, только пользователь)

хз, экспериментируй.

Как запретить всем программам выходить в Интернет?

sudo ifconfig eth0 down

/me хотеть запретить всем программам, кроме одной(броузер)*, выходить в Интернет.

какой-нибудь прокси

а если сделать «ipables --uid-owner» для юзера, то рут сможет попасть в интернет? а «sudo apt-get»? (Хотелось бы чтобы рут не мог выходить в сеть, только пользователь)

рут может всё

iptables + фильтр по uid + запуск только браузера из-под этого пользователя?

Аналогично (правда, наоборот - заворачивание всех подключений через TOR) сделано в Liberte Linux.

я вот только не понимаю, какой смысл сеть от рута скрывать? Захочет- восстановит. А так ты можешь закрыть всё на фаерволе и открыть только для uid, но нахер такое...

угу, и sudo iptables -F

У уважаемого топикстертера, всего навсего помегабайтный тариф, а не страсть к занятным извращениями.

помегабайтный тариф

http://www.ylsoftware.com/news/403

Некоторые программы из мира OpenSource не отличаются от их проприетарных аналогов тем что без спросу лезут в интернет, даже просто ради того чтобы узнать какой ip принадлежит доменному имени или узнать последние новости.

Возможно именно посему, наученного горьким опытом, топикстартера интересует только браузер.

Блокировать всё, выпускать только сквид. А на нём затягивать гайки.

всего навсего помегабайтный тариф
...
Возможно именно посему, наученного горьким опытом, топикстартера интересует только браузер.

В точку. Брат по несчастью или просто догадался?

Безлимит это не дар божий, он при рождении не дается, его надо заработать регулярными молитвами провайдеру, постами на 32кб/сек, и воздержанием на тарифах с 20руб/мб.

Увы сейчас уже не те времена :(

всего навсего помегабайтный тариф

ыыы, а зачем тогда руту-то трафик резать? Максимум что нужно сделать это отключить автоапдейты если они были включены.

В windows есть замечательная возможность блокировать/рарешать доступ в интернет определенной программе. В linux это возможно?

belous_k_a

В windows есть замечательная возможность блокировать/рарешать доступ в интернет определенной программе. В linux это возможно?

в Linux есть замечательная возможность запрещать/разрешать инет (и вообще всё что угодно) только определённому юзеру.

А ещё есть чудная команда sudo, которая позволяет одному юзеру запускать программы под именем другого.

Имя, сестrа, имя!! Этой волшебной возможности виндоус.

Извольте, объяснить зачем такие сложности когда нужно просто разрешить выход в интернет паре-тройке _программ_?

http://www.mobydisk.com/techres/windows_firewall.png

Это одна из достаточно полезных возможностей. В GNU/Linux были неоднократный попытки это сделать, но на серверах эта возможность ненужна, а пользователи должны сами о себе позаботиться. Например iptables --pid-owner

Те, кому это надо, давно нагуглили firestarter, ufw и selinux. А те, кому не надо, могут только постить скриншоты с оффтопиком и разводить демагогию.

Уважаемый, расскажите, пожалуйста, как в оболочках для графической настройки iptables (firestarter, ufw ) реализовано то что в iptables не реализовано?

И к чему тут selinux, или вы, уважаемый, совершенно не различаете сии программные продукты?

/etc/services

а если уж совсем хочется windows-style и постоянно ловить всплывающие окошки и жать «разрешить/запретить», то leopardflower.

Милейший вы настойчиво игнорируете мой вопрос, и пытаетесь убедить всех что нужны всплывающие окошки. Нужно только разрешить доступ нескольким программам, ни больше. Не фантазируйте.

я вас не игнорирую, а вот вы читаете ответы очень избирательно.

но повторюсь - /etc/services - это раз. leopard flower - это два.

чтение вслух по ролям мануалов по отключению всплывающих окошек только на платной основе.

Уважаемый, вхождение в роль садового шланга вас не спасет. Вы так и не назвали ответа на мой вопрос. В MS Windows вообще нет этого вопроса - там в указанном мной диалоге достаточно выбрать исполняемый файл программы и все.

В GNU/Linux ранее был ключ iptables --pid-owner, хотя он и требовал примерно год изучения Bash-скриптинга для реализации ответа на мой вопрос, но тем не менее этого ключа уже нет.

А вы милейший прекращайте позорить сей многоуважаемый ресурс и все OpenSource сообщество своим недостойным поведением. Из-за оного Свободное ПО никогда не перестанет быть уделом маргиналов.

ок. вы у нас не маргинал. образованный продвинутый пользователь. даже гугл осилили.

что ж вы тогда не сокрушаетесь по поводу выпиливания ключа --cmd-owner?

и почему, когда я запускаю даже gufw я могу разрешить входящий/исходящий траффик не только по службам: ssh, rdp, http/https и т.д., но и по приложениям: skype, transmission и т.д.?

а если мне захочется странного, я могу запустить leopard flower и творить вообще все, что душе заблагорассудится.

но видимо моя шланговость имеет на вас какое-то удаленное воздействие (через торсионные поля не иначе), скрывая ключи запуска, мануалы и даже галочки и менюшки в гуевых приложениях.

и почему, когда я запускаю даже gufw я могу разрешить входящий/исходящий траффик не только по службам: ssh, rdp, http/https и т.д., но и по приложениям: skype, transmission и т.д.?

Потому, уважаемый, что вы не потрудились изучить работу используемой вами программы.

Попросту говоря, вы демонстрируете радикальную безграмотность, путая блокировку по портам характерным для приложения и собственно блокировку любой сетевой активности приложения.

и именно потому, что я не в курсе про порты, характерные для приложений, я вам уже 2 раза предлагал ознакомиться с /etc/services?

и наверное, поэтому же, дважды говорил, что если мне понадобится что-то большее, чем может предложить /etc/services, я воспользуюсь Leopard Flower.

но зачем высокообразованному, умудренному жизнью, продвинутому пользователю внимательно читать сообщения шлангующего маргинала?

belous_k_a

Извольте, объяснить зачем такие сложности когда нужно просто разрешить выход в интернет паре-тройке _программ_?

легко. Никаких программ в Linux не бывает. Бывают _файлы_. Любой файл может иметь любое число имён, в т.ч. не иметь их вовсе. Работающий исполняемый файл можно в любой момент изменять и/или удалять/заменять. Как и его имя. Догадываетесь, какой грандиозной глючности РЕШЕТО вы тут предлагаете? Запретили юзеру выход в сеть FireFox'ом? А юзер создал ссылку, и отлично забил на ваш запрет. Или вы предлагаете пройтись по всем дискам в поисках ВСЕХ ссылок? Не слишком-ли круто? Что будет с вашим запретом, если браузер ВНЕЗАПНО обновится? Ну ладно, для нового ФФ запрет подействует. А для старого? Или может мы введём список имён, в котором хранятся имена программ на момент старта?

В венде программный файл заблокирован, и его никак нельзя изменять (в т.ч. и переименовать), потому там имя жёстко привязано к программе. Да и то, юзер всегда может сделать копию или скачать портабельную версию, и запустить ту-же программу под другим именем. Как такое ловится в венде? Ещё 100500 костылей? И на каждый по Over9000 путей обхода?

Не. Вот UID он постоянный. По нему и надо блокировать. А с помощью sudo вы можете разрешить нужные действия, с нужными правами.

и именно потому, что я не в курсе про порты

Уважаемый, вы вообще ни про что «не в курсе», и при этом уверенно и постоянно размахиваете вашей фанатичной безграмотностью.

Усвойте одну вещь «программа» может открывать соединение на любом порту, и никто не может заранее сказать на каком.

Mandatory Access Control AKA Selinux/Apparmor.

belous_k_a

В GNU/Linux ранее был ключ iptables --pid-owner, хотя он и требовал примерно год изучения Bash-скриптинга для реализации ответа на мой вопрос, но тем не менее этого ключа уже нет. А вы милейший прекращайте позорить сей многоуважаемый ресурс и все OpenSource сообщество своим недостойным поведением. Из-за оного Свободное ПО никогда не перестанет быть уделом маргиналов.

вы таки подумайте, какую дыру вы предложили открыть. К счастью, никто на такое не пойдёт. И что вы имеете против «моего» способа?

1. создаём нового юзера web
2. запрещаем всем кроме web выход в сеть
3. основному юзеру разрешаем через sudo выполнять «пару тройку программ» от имени web
4. делаем ярлык на рабочем столе, что-бы sudo -u web ... каждый раз не вбивать

silw

и именно потому, что я не в курсе про порты, характерные для приложений, я вам уже 2 раза предлагал ознакомиться с /etc/services?

что там у вас в /etc/services? у меня такого нет.

не слушай этих говноедов
вот тут всё описано:
http://www.symantec.com/connect/articles/iptables-linux-firewall-packet-string-m...

ну или такими костыликами можно:
изолировать программу от сети? (комментарий)

http://www.symantec.com/connect/articles/iptables-linux-firewall-packet-strin...

ссылкофикс

Никаких программ в Linux не бывает. Бывают _файлы_

Которые запускаясь обретают PID, да? Нет. Уважаемый, зачем столько букв, если после процитированного текста можно составить законченное мнение о вашем сообщении?

Любой файл может иметь любое число имён, в т.ч. не иметь их вовсе.

Ваша осведомленность непростительна для сего ресурса. Ибо хардлинки есть даже в MS Windows.

Но ваша проблема в том что вы видимо даже не догадываетесь что есть такая вещь как inode, которую можно определить по по имени файла, и затем политики безопасности к ней. Почему надо вам все разжевывать?

Работающий исполняемый файл можно в любой момент изменять и/или удалять/заменять.

И что? В MS Windows обновление программы также происходит заменой исполняемого файла, для этого там требуется сделать чуть больше, но даже там Windows Firewall догадывается о подмене. Или вы намекаете что для программистов GNU/Linux подобное поведение - непосильная интеллектуальная задача?

вы таки подумайте, какую дыру вы предложили открыть

Подумайте за меня, вы кажется умный человек, расскажите что за «дыра».

основному юзеру разрешаем через sudo выполнять «пару тройку программ» от имени web

Отвечу вашим текстом:

Никаких программ в Linux не бывает. Бывают _файлы_. Любой файл может иметь любое число имён, в т.ч. не иметь их вовсе. Работающий исполняемый файл можно в любой момент изменять и/или удалять/заменять. Как и его имя. Догадываетесь, какой грандиозной глючности РЕШЕТО вы тут предлагаете? Запретили юзеру выход в сеть FireFox'ом? А юзер создал ссылку, и отлично забил на ваш запрет. Или вы предлагаете пройтись по всем дискам в поисках ВСЕХ ссылок? Не слишком-ли круто? Что будет с вашим запретом, если браузер ВНЕЗАПНО обновится? Ну ладно, для нового ФФ запрет подействует. А для старого? Или может мы введём список имён, в котором хранятся имена программ на момент старта?

Заметьте что обновленная программа, требует верификации перед тем как ей выдать теже разрешения на доступ к сети, т.е. поведение sudo имеет потенциальную уязвимость :)

делаем ярлык на рабочем столе, что-бы sudo -u web ... каждый раз не вбивать

Вы не описали процесс настройки прав на сохранение загруженных файлов, автоматическую смену прав на них для основного пользователя и т.п.

belous_k_a

Которые запускаясь обретают PID, да?

да. от которого толку - как от козла молока.

belous_k_a

Уважаемый, зачем столько букв, если после процитированного текста можно составить законченное мнение о вашем сообщении?

уважаемый. вы таки сначала прочитайте, а потом подумайте. Потом отвечайте. Ещё раз подумав.

belous_k_a

Ваша осведомленность непростительна для сего ресурса. Ибо хардлинки есть даже в MS Windows.

кто вам сказал, что я не в курсе?

belous_k_a

Но ваша проблема в том что вы видимо даже не догадываетесь что есть такая вещь как inode, которую можно определить по по имени файла, и затем политики безопасности к ней.

про inode я в курсе. Как вы будете определять inode обновлённого приложения по его имени? Как вы будете определть inode удалённого файла по его имени? Я не говорю, что это не возможно. Просто попробуйте. Вам оно понравится. За одно много нового узнаете.

belous_k_a

И что? В MS Windows обновление программы также происходит заменой исполняемого файла, для этого там требуется сделать чуть больше, но даже там Windows Firewall догадывается о подмене. Или вы намекаете что для программистов GNU/Linux подобное поведение - непосильная интеллектуальная задача?

вполне посильная. И идиотская. Попробуйте реализовать, и вы поймёте, что вы делаете Over9000 никому ненужных костылей. И да, что там в вашей шиндовс - простите, не в курсе. По факту - хардлинки как-бы есть, но их никто не использует. 3.5халявщика на DC++ не в счёт. Через какие костыли у вас там обновление - тоже не знаю. Расскажите, самому интересно. У нас просто файл перемещается затирая старый. (при этом старый удаляется, но не изменяется. Это позволяет ему работать как ни в чём не бывало)

belous_k_a

Подумайте за меня, вы кажется умный человек, расскажите что за «дыра»

см выше. Существуют 100500 способов обхода этой «защиты». PID вам не поможет, ибо он заранее не известен. inode тоже, по той-же причине, и потому, что их может быть много разных у разных программ с одним _именем_. Имя тоже не пойдёт.

belous_k_a

Заметьте что обновленная программа, требует верификации перед тем как ей выдать теже разрешения на доступ к сети, т.е. поведение sudo имеет потенциальную уязвимость :)

теперь расскажите, КАК вы можете воспользоваться этой уязвимостью, а я вам расскажу, что УЖЕ сделано, против этой атаки. Sudo не первый год существует, и все её дыры давно и хорошо изучены.

Имя программы (полное) известно во время выполнения sudo, и юзер не может его поменять, как и саму программу. Далее netfilter имеет дело с процессом, UID которого юзер тоже принципиально не может поменять. Единственное, что может делать юзер - юзать дыры в этой программе. Но с этим уже ничего не поделать.

belous_k_a

Вы не описали процесс настройки прав на сохранение загруженных файлов, автоматическую смену прав на них для основного пользователя и т.п.

у меня тупо общий каталог с правами 0777. А смена владельца не нужна. Я правда защищаюсь не от себя, а от браузера, с быдлоплагинами от быдлоадобы. Но это уже частности.

да. от которого толку - как от козла молока.

Уважаемый, файл.sh не имеет pid. Вы в очередной раз доказываете свою несостоятельность.

про inode я в курсе. Как вы будете определять inode обновлённого приложения по его имени?

Уважаемый, вы спросили глупость. Тем не менее на нее есть умный ответ: ls -i

Как вы будете определть inode удалённого файла по его имени?

Для чего? Если файл удалили до того как настроили доступ то у вас какойто нездоровый интерес к удаленным файлам, во всех остальных случаях он должен запоминаться.

вполне посильная. И идиотская.

Уважаемый, вы, ни написав ни строчки кода, утверждаете что создание инструмента безопасности легкая и «идиотская» задача? Вы вызываете лишь улыбку.

Через какие костыли у вас там обновление - тоже не знаю. Расскажите, самому интересно. У нас просто файл перемещается затирая старый.

Уважаемый, вы сим демонстрируете неуважение к собеседнику, так явно признались в том что не читаете мои сообщения, так как процесс обновления мной упоминался применительно к MS Windows.

Существуют 100500 способов обхода этой «защиты».

Не соблаговолите ли перечислить все сто с половиной тысяч? Иначе я буду вынужден лишний раз убедиться в вашей несостоятельности.

PID вам не поможет, ибо он заранее не известен.

Уважаемый я его указал как чрезвычайно неудобный способ реализовать то что давно есть в MS Windows.

Имя программы (полное) известно во время выполнения sudo, и юзер не может его поменять, как и саму программу.

«Имя программы (полное) известно во время работы netfilter, и юзер не может его поменять, как и саму программу.» Уважаемый, вы самодостаточный собеседник, зачем вам я если вы сами с собой весьма удачно спорите?

у меня тупо общий каталог с правами 0777. А смена владельца не нужна.

Таким образом вы просто смирились с возникающими проблемами.

belous_k_a

Вы в очередной раз доказываете свою несостоятельность.

затроллить меня решили? что ж, покормлю немного...

belous_k_a

Уважаемый, файл.sh не имеет pid.

уважаемый, а кто и когда вам доказывал, что файл .sh имеет PID? голоса в вашей голове? ну уж точно не я. Shell скрипт конечно PID «имеет», это либо PID shell'а который шабангом или вручную запустился, либо PID родительского shella, если запускать через source. Это вам так, к сведению. Хотя причём тут это - не очень понял. Давайте ещё так:

«Луна вышла из новолуния. Это доказывает вашу не состоятельность. Опять»

belous_k_a

Уважаемый, вы спросили глупость. Тем не менее на нее есть умный ответ: ls -i

что, правда? ок. предположим надо запретить выход в инет для wget. Как вы узнаете inode? ls -i `which wget` что-ли? А что мешает юзеру заюзать свою wget? А что если wget удалена/обновлена? Ответ не засчитывается.

belous_k_a

Для чего? Если файл удалили до того как настроили доступ то у вас какойто нездоровый интерес к удаленным файлам, во всех остальных случаях он должен запоминаться.

ага.
1. юзер запускает тот-же wget, чтоб качал чего-то большое из localhost в /dev/null.
2. юзер ждёт обновления
3. обновление удаляет файл wget
4. профит. Теперь у юзера есть ещё один wget без имени, которому разрешён инет (ибо имени у файла нет, и значит он не подходит по правилам)
Фишка в том, что система не сразу удаляет файл, а только после того, как все программы его закроют. Пока хоть одна программа его держит, файл хоть и исчезает из ФС, хоть и лишается имени, хоть и не показывается командой ls -i, хоть и не подходит под ваши правила, но тем не менее существует, ИЧСХ, юзер имеет к нему доступ.

belous_k_a

Уважаемый, вы, ни написав ни строчки кода

Уважаемый, вы точно меня не с кем не спутали? за 20+ лет я написал довольно много строчек разного кода. Конечно не сказать, что эти все строчки прям гениальные, быдлокод конечно, часто на продажу за еду... Но сказать что я „ни одной строчки не написал“ - это уж вы немного того. Обшиблись.

belous_k_a

утверждаете что создание инструмента безопасности легкая и «идиотская» задача? Вы вызываете лишь улыбку.

А вы научитесь читать, прежде чем глупо улыбаться. Имелось ввиду «100500 сверхсложных костылей, которые никому не нужны»

belous_k_a

Уважаемый, вы сим демонстрируете неуважение к собеседнику, так явно признались в том что не читаете мои сообщения, так как процесс обновления мной упоминался применительно к MS Windows.

простите, вы русский? просто вы меня не понимаете. может гуглотранслятором пользуетесь?
я и говорю о том, что процесс обновления в виндовс я не знаю. И прошу вас рассказать об этом.

belous_k_a

Не соблаговолите ли перечислить все сто с половиной тысяч? Иначе я буду вынужден лишний раз убедиться в вашей несостоятельности.

для доказательства несостоятельности вашей защиты необходимо и достаточно всего одной дыры. Что-бы пробраться на охраняемую территорию, достаточно лишь одной дырки в заборе. Это очевидно.

belous_k_a

Уважаемый я его указал как чрезвычайно неудобный способ реализовать то что давно есть в MS Windows.

а вы разве не думали о том, что не всё, что есть в другой ОС можно тащить суда? вы разве не понимаете, что своим одним плюсом, вы можете создать Over9000 минусов, да и плюс ваш тоже будет никому не нужный?

belous_k_a

«Имя программы (полное) известно во время работы netfilter, и юзер не может его поменять, как и саму программу.» Уважаемый, вы самодостаточный собеседник, зачем вам я если вы сами с собой весьма удачно спорите?

да уж... Я-же вам говорю о том, что имя программы может измениться. Мало того, оно ещё и меняется. Причём это штатная работа GNU/Linux. (в отличие от другой ОС). Если пользоваться вашим способом, то юзер всегда может запускать программу под нужным именем, или вообще без имени, делая всё, что ему захочется. А вот юзая мой метод, что-бы этот юзер не запускал, и как-бы он не изгалялся, UID процесса будет равен UID'у этого юзверя. За исключением процессов, запущенных через sudo. Но их он не сможет изменить, ибо это уже не его процессы.

belous_k_a

Таким образом вы просто смирились с возникающими проблемами.

и какие у меня проблемы?

кто и когда вам доказывал, что файл .sh имеет PID? голоса в вашей голове? ну уж точно не я. Shell скрипт конечно PID «имеет», это либо PID shell'а который шабангом или вручную запустился, либо PID родительского shella, если запускать через source

Полагаю любой уважающий себя человек сделает выводы из вашего спора самим с собой.

я и говорю о том, что процесс обновления в виндовс я не знаю. И прошу вас рассказать об этом.

Нижайше прошу извинить меня, но вы с вашим высокомерным опытом в области программирования за 20 лет, явно встречались с MS Windows, тем самым очевидно, что либо сего опыта у вас нет, либо вы знаете ответ на вопрос и провоцируете меня на сообщение вне темы сего многоуважаемого ресурса.

ок. предположим надо запретить выход в инет для wget.

Ваши познания в области безопасности хуже нежели у ежа в области атомной физики. Подскажу: доступ надо не запрещать программе, а разрешать. А запрещать нужно все.

Предлагаю вам переосмыслить ваши замечательные фантазии с учетом приобретенных вами познаний в области безопасности.

ну вот я заранее знаю, что демон привяжется к тому порту, который я укажу ему в конфиге. а еще я, заранее, знаю, что если запретить моему браузеру ходить на 80 и 443 порты, толку от него будет немногим больше чем от тыквы.

подводя итог - вы так и не соизволили внимательно ознакомиться ни с одним ответом. поэтому вот вам последняя косточка.

Leopard Flower Personal firewall for Linux OS (based on libnetfilter_queue) which allows to allow or deny Internet access on a per-application basis rather than on a port/protocol basis.

ну вот я заранее знаю

Уважаемый, вы рассуждаете с недалекой позиции казуального пользователя. На практике в браузере вы можете открыть web-страницу с апплетом который будет открывать HTTP соединение на 8080 порт и получать оттуда данные большого объема. Про такие вещи как торрент я вообще скромно умолчу, так как в этой теме собрались люди странные.

вы так и не соизволили внимательно ознакомиться ни с одним ответом. поэтому вот вам последняя косточка.

Уважаемый, вы наглядно демонстрируете негативное отношение OpenSource коммьюнити к новоприбывшим пользователям, и это отношение негативно сказывается на популярности GNU/Linux

выдерни сетевой кабель

http://www.mobydisk.com/techres/windows_firewall.png

То, что Вы привели по ссылке, относится к блокировке входящих подключений извне, иначе говоря предоставляет возможность открыть порт какому-либо сервису. В ip-tables это решается дефолтным режектом и добавлением необходимых исключений. Вы либо не в теме, либо тролль.

belous_k_a

Нижайше прошу извинить меня, но вы с вашим высокомерным опытом в области программирования за 20 лет, явно встречались с MS Windows, тем самым очевидно, что либо сего опыта у вас нет, либо вы знаете ответ на вопрос и провоцируете меня на сообщение вне темы сего многоуважаемого ресурса.

я в общих чертах знаю. И уже давно позабыл. Да и всё наверное сейчас по другому.

belous_k_a

Ваши познания в области безопасности хуже нежели у ежа в области атомной физики. Подскажу: доступ надо не запрещать программе, а разрешать. А запрещать нужно все.

какая разница? главное - правило не подействовало. РЕШЕТО.

belous_k_a

Предлагаю вам переосмыслить ваши замечательные фантазии с учетом приобретенных вами познаний в области безопасности.

а я предлагаю вам отвлечься от ваших фантазий, забыть шиндовс как страшный сон, и заняться изучением матчасти применительно к GNU/Linux. Начните с того, почему выпилили это фильтр из netfilter.

главное - правило не подействовало. РЕШЕТО.

Запрет всей сетевой активности не подействовал? Уважаемый, вы не заболели?

Начните с того, почему выпилили это фильтр из netfilter.

Милейший, вы сами прекрасно знаете, почему, потому что в GNU/Linux нет доменов безопасности, а сам по себе PID ничего не значит, да использовать его практически невозможно в отличие от имени файла.