Как запретить доступ к сети приложениям, которых нет в белом листе?
Здравствуйте, напал приступ паранойи :)
Использую Ubuntu 12.04, с сетью и настройками доступа особо никогда не возился, вот появился такой вопрос, как проще всего запретить доступ к сети для всех приложений, кроме тех, которые я сам укажу? И второе, какими средствами возможно управлять правами для всех приложений? Например если правила не указаны, то по умолчанию у приложения нету доступа к файлам и сети, и т д. Так подозреваю что второй вопрос к AppArmor?
По поводу сети могу подсказать только, что надо копать в сторону iptables. В своё время пытался изучить его синтаксис, но не осилил (видимо, были другие приоритеты). Конечно, не тру, но советую сразу попробовать графические оболочки.
У AppArmor есть аналог, который встроен в ядро (насколько я знаю) — SELinux. Вроде как считается основным средством. AppArmor я видел только в openSUSe да в Ubuntu.
1 — iptables не работает на уровне приложений, а использовать для подобных локальных потребностей l7-filter или полноценные DPI приложения просто маразм в виду не лёгкости их применения.
2 — у человека и есть Ubuntu, так что AppArmor там или SELinux роли не играет. Да данным приблудами можно попытаться воспользоваться.
iptables несколько не то что нужно автору, ключевое в вопросе «доступ приложениям», в стандартном исполнении iptables оперирует данными 3-4 уорвням модели OSI. Для того чтобы запретить доступ приложению вам нужен application firewall, на данный момент насколько мне известно готового решения для Linux нет. Есть модуль owner для iptables, но тут все через скрипты и pid процесса…
