LINUX.ORG.RU

Запретить Linux приложению доступ в сеть

 , , , ,


1

2

Ни разу не настраивал файрвол или другие подобные вещи в линукс. Есть ли простой и надежный способ запретить приложению выходить в сеть? Какой вообще способы бывают?

Вдогонку вопрос: Есть ли какая-нибудь разница, установлено ли это приложение через стандартный менеджер ubuntu - apt, или оно скачано и запускается из Appimage?

Ответ на: комментарий от LinuxDebian

Когда до виндузятников дойдет замечательная идея настроить firewall по белым спискам? Тогда и отдельные приложения сажать в песочницу (из которой 1000 и 1 способ вылезти есть) будет не нужно.

peregrine ★★★★★ ()
Ответ на: комментарий от anonymous

Тут довольно высокий порог вхождения (имхо). Плюс, есть неиллюзорный шанс превратить телефон в кирпич.

Собственно сначала надо побороть загрузчик, обеспечив возможность грузить код, не подписанный производителем. Иначе — дальше можно не продолжать. Потом нужно описать параметры устройства и вытащить из оригинального рома всю нужную для работы фирмварь (gsm, bluetooth, wi-fi, камера и т.п.). При этом, скорее всего, понадобится патчить ядро. И только обеспечив запуск ядра и recovery, можно пытаться собирать систему из исходников.

В общем, процесс столь сложен, что проще сразу покупать телефон, основываясь на списке поддерживаемых устройств. Впрочем, если тебе интересен пример:

ShizuShidou ()
Ответ на: комментарий от WereFox

Штатной для чего? Для циана и линейки она вполне себе штатная. Как и iptables, если что. А гуглу, опсосам и сотням голодных кетайцев наши страдания по безопасности, приватности и минимизации потребления трафика сказать до какого места?

Даже в оффтопике можно настроить фаервол для каждого отдельного приложения, только делать это без удобных фронтэндов, типа BiniSoft'овского Windows Firewall Control, так себе удовольствие.

ShizuShidou ()
Ответ на: комментарий от WereFox

Цитирую:

Отбирать доступ в сеть на ведроиде нельзя.

Так кто, говоришь, чего сделал и теперь пытается неумело троллить? И это, заметь, ещё помимо стрёмноватого способа с завёрнутым на себя vpn, как в eu.faircode.netguard. Никак нельзя, ага. А про «штатные средства» это ты со своим воображаемым собеседником дискутировал? В треде про это нет ни слова, если чё.

ShizuShidou ()
Ответ на: комментарий от ShizuShidou

А про «штатные средства» это ты со своим воображаемым собеседником дискутировал?

Ты дебил? Прочитать пробовал, на что я отвечал?

В Android вроде можно с 6-ё версии

WereFox ★★ ()
Последнее исправление: WereFox (всего исправлений: 1)
Ответ на: комментарий от PeKar

В целях повышения образованности вопрос

у пользователя может не быть графической подсистемы что бы открыть окошко

А в этих линуксах разве нельзя, чтобы передаёшь сообщение абоненту user через некоторую message query, а с той стороны это сообщение принимает zenity, wall или скрипт, в зависимости от ситуации?

muon ★★★ ()

А в этих линуксах разве нельзя, чтобы передаёшь сообщение абоненту user через некоторую message query, а с той стороны это сообщение принимает zenity, wall или скрипт, в зависимости от ситуации?

Что бы принять какое либо сообщение - нужно быть запущенным. И даже если принять сообщение, то как и когда его выводить? Посреди вывода другой программы? А если в это время работает конвейер? А если пользователь открыл несколько сессий одновременно, то на какой терминал делать вывод?

По хорошему поставленную тобой задачу можно решить если сделать общий стандарт консольных уведомлений. Но если этот стандарт кого то в чём то не устроит - то его проигнорируют. Кроме того есть не только программные терминалы но и аппаратные которые и поныне кое где используются.

То что ты говоришь, противоречит идеологии UNIX. Правильно, будет сделать специальную утилиту, которая будет для всех своих потомков закрывать все порты кроме указанных, устанавливать для них чёрные и белые списки портов и адресов. Но такой утилиты пока ещё не сделали.

PeKar ()