selinux

Как правило, демоны в дебиане имеют своего пользователя, но можно и самому толкать нужный софт от созданного для него пользователя, а дальше -uid-owner

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -m owner --uid-owner proguser -j DROP

-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -m owner --uid-owner 7878 -j DROP

1. Не нужно.

2. Была такая же тема неделю или две назад.

А зачем?

1. Не нужно.

Да кто ты такой чтобы решать за меня?

2. Была такая же тема неделю или две назад.

И что на нее дали более адекватный ответ чем вы?

Интересуюсь. Это очень недурная вещь особенно если проги не только из стандартных хранилищ но и из других источников. К томуже интересно было бы посмотреть как это реализуется под Линуксом.

Да, об этом я думал, но это не очень удобно, а если не демоны а к примеру тотже Firefox заблокировать (ну чисто теоретически), и хотелось бы к тому же систему оповещения об использовании таких ресурсов программами...

Поменяй ник на WindowsFedora, ибо с твоим теперешним ником не пристало такого желать.

Нет и не будет. Как выход - виртуалка. Нужно было запустить игрушку написанную под деб, но так как выпрыгивала в интернет по 80 порту, ничего лучше чем запускать ее из под виртуалки я не нашел.

Можно легко скостылить из разных пользователей, man iptables, rsyslog и десктопных уведомнений, но потребность в этом испытывают только немощные федоровантузятники, укравшие керио фиреволл и виндовс восемь ультимейт для мамкиного кампа.

Да кто ты такой чтобы решать за меня?

Ok, тебе надо, ты и пиши. Если до сих пор не написали, значит никому не нужно.

Делается PRELOAD библиотеки (.so), перегружающая сисколы для работы с сокетами.

1. Не нужно.

Да кто ты такой чтобы решать за меня?

А это не решение было, а константация факта.

А если ты такой решительный весь из себя, будь мужиком, сделай а не истери.

Да кто ты такой чтобы решать за меня?

А почему ты спрашиваешь?

И что на нее дали более адекватный ответ чем вы?

А какой ответ ты хочешь?

А не подскажите, что почитать по этому поводу?

Интересно есть ли под Линукс файервол способный блокировать не порты итд, а отдельные программы, как в оффтопике?

что такое «отдельная программа»? Дай определение.

Можно:

1. поставить отдельную программу под специального юзера

2. установить этому юзеру какие хочешь правила в iptables.

Не нужно.

Да кто ты такой чтобы решать за меня?

делить на ноль можно, но это говорит лишь о твоей безграмотности и тупости.

И что на нее дали более адекватный ответ чем вы?

да, дали. Это вполне адекватный ответ.

http://unixforum.org/index.php?showtopic=125328

А не подскажите, что почитать по этому поводу?

По какому поводу?

Вообще если честно не очень понятны твои задачи использования фаервола, в федоре например есть неплохой гуевый обвес http://fedoraproject.org/wiki/SystemConfig/firewall к ядерному линуксовому фаерволу, там ЕМНИП можно рулить доступом программ в сеть. Самые удобные фаеры конечно же в BSD.

PS Debian располагает к ненужному красноглазию и увеличению мусорного объема знаний, которые тебе в жизни не пригодятся, если ты не «айтишник», но думается у «айтишника» таких вопросов бы не возникало.

Мне кажется нас троллят. :)

уже запасся попкорном (:

там ЕМНИП можно рулить доступом программ в сеть

В Fedora firewalld, который как раз почти ничего не умеет (хотя там есть свои вкусности).

нет вы действительно такие тупые или троллите :) можеш есть свой покорн прямо сейчас, это последний пост который написан в ответ не по теме. А пока в теме только два вменяемых человека. (со мной 3.)

Меня просто заинтересовал вопрос как можно под ОС Linux создать файервол который бы оповещал о каждом процессе который пользуется сетевыми ресурсами. И спрос на него меня не интересует продавать я его не собираюсь.

что такое «отдельная программа»? Дай определение.

Указанный пользователем процесс. В данном случае процесс который использует сетевые ресурсы, а не все процессы выполняемые из под этого «пользователя».

СЛИШКОМ ТОЛСТО САНЯ!

По-моему самый навороченный фаер в Линаксе же.

Меня просто заинтересовал вопрос как можно под ОС Linux создать файервол который бы оповещал о каждом процессе который пользуется сетевыми ресурсами

дык с какой целью? Что-то хочешь запретить, да? Какой-то мутный скрипт/блоб, который что-то не то не туда сольёт? Дык я тебе в тему дал рецепт: создаёшь юзера, и запускаешь прогу от его имени. И ничего никуда эта прога не сольёт. Также можешь и права на файлы подрезать, дабы rm -rf /* вызвало-бы удаление исключительно самого блоба.

Есть готовые selinux sandbox (см. https://wiki.debian.org/SELinux ), что-бы всё само работало само. Я ручками делаю, ибо Ъ.

А в windows этого нет, есть только костыли с табличками. Они не нужны.

нет вы действительно такие тупые или троллите

троллить ты пытаешься. Вот только таких толстячков тут уже Over9000 до тебя было.

И спрос на него меня не интересует продавать я его не собираюсь.

все так говорят. Поначалу. И это уже было на ЛОРе.

А пока в теме только два вменяемых человека. (со мной 3.)

В чем выражается твоя вменяемость?

Меня просто заинтересовал вопрос как можно под ОС Linux создать файервол который бы оповещал о каждом процессе который пользуется сетевыми ресурсами.

Изучи стек сетевых технологий и разработку под Линукс, да создай, в чем проблема?

И спрос на него меня не интересует продавать я его не собираюсь.

man GPL, хорошее начинание!

Указанный пользователем процесс.

в смысле PID что-ли? Ну есть iptables --pid-owner. Можешь накостылить фаервол, не хуже аутпоста. Вот здесь прочитай: http://www.opennet.ru/docs/RUS/iptables/

В данном случае процесс который использует сетевые ресурсы, а не все процессы выполняемые из под этого «пользователя».

ох... СПЕЦИАЛЬНОГО пользователя надо сделать. Что-бы ТОЛЬКО он мог запускать данную программу и ВСЕ её файлы юзать.

Ну к примеру СУБД у меня работает от имени mysql, юзая каталог /var/lib/mysql. При желании можно ей отрубить весь интернет, или не весь, а только на все IP кроме 1.2.3.4 и по портам с 12345 до 23777.

в смысле PID что-ли? Ну есть iptables --pid-owner. Можешь накостылить фаервол, не хуже аутпоста. Вот здесь прочитай: http://www.opennet.ru/docs/RUS/iptables/

Вот это уже интересней! Я просто гдето читал что

ipt_owner: pid, sid and command matching not supported anymore

Я просто гдето читал что

это по-русски звучит как «не нужно».

ну и да, сырцы остались, можешь реанимировать --pid-owner, может хоть тогда поймёшь, ПОЧЕМУ он не нужен.

Еще бы, ведь сейчас для Линаксов актуален ebtables + firefalld, все остальное треш угар и маргинальщина. Но если вы любитель несвеженького(дебьян), то еще лет 10 можете iptables юзать.

системды головного мозга это маргинальщина фидорасов и арчеговноедов

Влажные фантазии пользователей маргинальных дистрибутивов шерифа(РедХат) не волнуют.

самый навороченный фаер

В каком смысле? Из годных плюшек там только «зоны», которые за пределами десктоп задач не нужны. А всё остальное костыляется с помощью "--direct".

Нормального решения, как в венде, насколько я знаю, нет.

Максимум, это убрали из-за дублирования кода.

Там уже выше писали, selinux и sandbox на его базе:

http://danwalsh.livejournal.com/31146.html

не. Вот смотри: сделал ты костыль, который ищет pid wine, и его запрещает. А юзер не будь дураком, скопировал wine в свой каталог, и теперь это ~/eniw. И твой фаервол его в упор не видит. Вот только не говори мне про mount -o noexec, сам должен понимать, если не идиот.

Потому метка файла «имя» — ненадёжна. А метка «pid» тупо не нужна, ибо её иначе как по «имени» не детектировать.

Запомни, если в linux'е чего-то нет, то это по определению не нужно =)

ipt_owner: pid, sid and command matching not supported anymore

match owner давно уже починили. match owner работает с ядер версий примерно от 2.6.31.5.