Làm thế nào để kiểm soát truy cập internet cho mỗi chương trình?

Tôi muốn sử dụng một phần mềm để kiểm soát chương trình nào có thể kết nối với internet. Tôi biết rằng hành vi này được liên kết với từ "tường lửa", nhưng một số người dùng Linux rất khó chịu nếu ai đó yêu cầu Tường lửa cá nhân. Tôi không muốn làm bạn thất vọng vì yêu cầu một chương trình như vậy.
Tôi không muốn "cổng an toàn" hoặc những thứ khác mà Tường lửa cá nhân hứa hẹn trên Windows. Tôi nhìn vào iptablesnhưng nó không phù hợp với yêu cầu của tôi.

Tôi đã thấy một câu trả lời tuyệt vời ở đây ( "Cách chặn truy cập internet cho các ứng dụng rượu vang" ) nhưng thật khó chịu khi thiết lập điều này.

Có phần mềm nào yêu cầu mỗi chương trình nếu nó có thể truy cập internet không?

Có một kịch bản Perl trong diễn đàn Ubuntu của Đức ( Google dịch sang tiếng Anh ) dường như làm điều đó. Tôi chưa bao giờ thử nó và tôi đã không xem xét kỹ hơn về kịch bản, nhưng có lẽ nó hiệu quả với bạn. Mô tả chỉ bằng tiếng Đức nên bạn có thể cần một dịch vụ dịch thuật (như Google Dịch; xem ở trên).

Trong trường hợp bạn vẫn đang tìm kiếm loại ứng dụng này, tôi hiện đang phát triển chính xác ứng dụng đó: http : //douanản.com / https : //gllab.com/douan Ứng dụng / Doane

Ứng dụng của tôi chặn mọi ứng dụng không xác định (phiên bản mới của ứng dụng được ủy quyền bị chặn) và hỏi bạn nếu bạn cho phép hoặc từ chối lưu lượng truy cập của ứng dụng đó.

Có một cái nhìn vào trang web ;-)

Tôi tìm thấy một giải pháp thuận tiện mà giải quyết vấn đề. Bạn tạo một nhóm không bao giờ được phép sử dụng internet và bắt đầu chương trình với tư cách là thành viên của nhóm này.

1. Tạo một nhóm no-internet. Đừng không tham gia nhóm này

   sudo addgroup no-internet
   

2. Thêm quy tắc vào iptables ngăn tất cả các quy trình thuộc nhóm no-internetsử dụng mạng (sử dụng ip6tablesđể ngăn chặn lưu lượng IPv6)

   sudo iptables -A OUTPUT -m owner --gid-owner no-internet -j DROP
   

3. Thực thi sudo -g no-internet YOURCOMMANDthay vì YOURCOMMAND.

Bạn có thể dễ dàng viết một tập lệnh bao bọc sử dụng sudo cho bạn. Bạn có thể thoát khỏi dấu nhắc mật khẩu bằng cách thêm

%sudo     ALL=(:no-internet)      NOPASSWD: ALL

hoặc, một cái gì đó tương tự với sudo visudo

Sử dụng iptables-savevà iptables-restoređể duy trì các quy tắc tường lửa.

Đã có một tường lửa trong Ubuntu ufw, nhưng nó bị tắt theo mặc định. Bạn có thể kích hoạt và sử dụng nó bằng dòng lệnh hoặc giao diện của nó, gufw , có thể cài đặt trực tiếp từ Trung tâm phần mềm Ubuntu.

Nếu bạn cần chặn truy cập internet vào một ứng dụng cụ thể, bạn có thể dùng thử LeopardFlower , phiên bản vẫn đang ở phiên bản beta và nó không có sẵn trong Trung tâm phần mềm Ubuntu:

Chạy một chương trình dưới một người dùng khác sẽ sử dụng các tệp cấu hình cho người dùng đó chứ không phải của bạn.

Đây là một giải pháp không yêu cầu sửa đổi các quy tắc tường lửa và chạy trong cùng một người dùng (thông qua sudo) với môi trường được sửa đổi, nơi người dùng của bạn my_uservà ứng dụng bạn muốn chạy là my_app:

# run app without access to internet
sudo unshare -n sudo -u my_user my_app

Để biết thêm chi tiết xem man unsharevà câu trả lời này .

Tường lửa GUI Linux

Nếu bạn đang tìm kiếm một tường lửa GUI tôi đã có kết quả tốt với OpenSnitch - nó chưa có trong repos ubfox và tôi sẽ không gọi nó là cấp độ sản xuất, nhưng theo các bước xây dựng từ trang github đã làm việc cho tôi.

@psusi: Tôi thực sự mong mọi người sẽ không bán rong thông tin xấu và không hữu ích. IPTables cho phép một người làm điều này, vì vậy tôi hầu như không coi đó là "sự ngu ngốc". Chỉ cần nói "KHÔNG" mà không hiểu trường hợp sử dụng là hơi hẹp hòi. http://www.debian-adftime.org/article/120/Application_level_firewalling

EDIT bồ đề.zazen

LƯU Ý - TÙY CHỌN NÀY ĐƯỢC KHAI THÁC TỪ IPTABLES NĂM 2005, 8 NĂM TRƯỚC KHI TRẢ LỜI NÀY ĐƯỢC BÀI VIẾT

XEM - http://www.spinics.net/lists/netfilter/msg49716.html

cam kết 34b4a4a624bafe089107966a6c56d2a1aca026d4 Tác giả: Christoph Hellwig Ngày: CN 14 tháng 8 17:33:59 2005 -0700

[NETFILTER]: Xóa lạm dụng tasklist_lock trong chủ sở hữu ipt {, 6}

Xé toạc khớp cmd / sid / pid vì nó bị hỏng không thể trộn được và cản trở việc khóa các thay đổi đối với tasklist_lock.

Signed-off-by: Christoph Hellwig <hch@xxxxxx>
Signed-off-by: Patrick McHardy <kaber@xxxxxxxxx>
Signed-off-by: David S. Miller <davem@xxxxxxxxxxxxx>

Một lựa chọn khác là firejail . Nó chạy ứng dụng bên trong hộp cát nơi bạn điều khiển nếu ứng dụng có thể nhìn thấy mạng:

firejail --net=none firefox

Lệnh này sẽ khởi động trình duyệt Firefox mà không cần truy cập internet. Lưu ý rằng bản phân phối firejail trong repo Ubuntu đã lỗi thời - tốt hơn nên tải xuống phiên bản LTS mới nhất của nó từ trang chủ firejail.

Tôi đã tìm thấy giải pháp được đăng ở đây là một giải pháp tốt. Nó liên quan đến việc tạo ra một nhóm người sử dụng mà internet được cho phép , và thiết lập các quy tắc tường lửa để cho phép truy cập chỉ dành cho nhóm này. Cách duy nhất để một ứng dụng truy cập internet là nếu nó được điều hành bởi một thành viên của nhóm này. Bạn có thể chạy các chương trình trong nhóm này bằng cách mở shell với sudo -g internet -s.

Để tóm tắt lại những gì trong bài tôi đã liên kết ở trên:

1. Tạo nhóm "internet" bằng cách nhập nội dung sau vào trình bao: sudo groupadd internet

2. Đảm bảo rằng người dùng sẽ chạy tập lệnh bên dưới được thêm vào sudonhóm /etc/group. Nếu bạn kết thúc sửa đổi tệp này, thì bạn sẽ cần phải đăng xuất và đăng nhập lại trước khi đoạn script bên dưới hoạt động.

3. Tạo một tập lệnh chứa các phần sau và chạy nó:

   #!/bin/sh
   # Firewall apps - only allow apps run from "internet" group to run
   
   # clear previous rules
   sudo iptables -F
   
   # accept packets for internet group
   sudo iptables -A OUTPUT -p tcp -m owner --gid-owner internet -j ACCEPT
   
   # also allow local connections
   sudo iptables -A OUTPUT -p tcp -d 127.0.0.1 -j ACCEPT
   sudo iptables -A OUTPUT -p tcp -d 192.168.0.1/24 -j ACCEPT
   
   # reject packets for other users
   sudo iptables -A OUTPUT -p tcp -j REJECT
   
   # open a shell with internet access
   sudo -g internet -s
   

4. Bằng cách chạy đoạn mã trên, bạn sẽ có một vỏ trong đó bạn có thể chạy các ứng dụng có truy cập internet.

Lưu ý rằng tập lệnh này không làm gì để lưu và khôi phục các quy tắc tường lửa của bạn. Bạn có thể muốn sửa đổi tập lệnh để sử dụng các lệnh iptables-savevà iptables-restoreshell.

Để tốt hơn hoặc tồi tệ hơn, Linux sử dụng một cách tiếp cận khác. Không có giao diện đồ họa đơn giản để cung cấp chức năng này. Có nhiều cuộc thảo luận về chủ đề này trên internet và bạn có thể tìm thấy các cuộc thảo luận thú vị nếu bạn tìm kiếm trên google. Mặc dù tranh luận rất thú vị, cho đến nay vẫn chưa có một nhóm lập trình viên chuyên dụng nào muốn viết và duy trì chức năng này.

Các công cụ cung cấp chức năng này trong Linux là Apparmor, Selinux và Tomoyo.

Không có công cụ nào trong số này quá dễ học và tất cả đều có ưu điểm và nhược điểm. Cá nhân tôi thích SELinux hơn, mặc dù SELinux có đường cong học tập dốc hơn.

Xem:

http://www.linuxbsdos.com/2011/12/06/3-application-level-firewalls-for-linux-distribution/

Có (là) một ứng dụng đã được tham chiếu rồi, da báo. Tôi không chắc chắn về tình trạng / bảo trì.

Đó là trong iptables lên tới phiên bản kernel 2.6.24 Nếu bạn đang chạy máy 2.x - 2.6.24 và hạt nhân của bạn đã tuân thủ bạn có thể làm điều đó. vì lý do nào đó họ đã lấy nó ra, vì vậy không phải là microsoft. http://cateee.net/lkddb/web-lkddb/IP_NF_MATCH_OWNER.html

Hãy thử hoa báo . Nó có một hạn chế GUI và mỗi ứng dụng.

Không, điều đó là không thể. Nó cũng không phải là một phần của định nghĩa truyền thống về tường lửa. Đó là điều mà Microsoft đã đưa ra khá gần đây trong một nỗ lực để giải quyết các vấn đề bảo mật hệ điều hành bị hỏng cơ bản của họ. Nó được coi là điên rồ và không khả thi trong cộng đồng Linux vì một chương trình không được phép có thể đơn giản chạy một chương trình khác và có quyền truy cập theo cách đó.

Nếu bạn không thích những gì một chương trình đang làm trên mạng khi bạn chạy nó, thì đừng chạy chương trình đó.