Возникают процессы из ниоткуда.

sidbar · 22 мая 2015, 09:39:52

Цитата: yura_n от 20 мая 2015, 16:40:30
Настройка файервола, так как любое приложение, которое смотрит в сеть, может быть потенциально уязвимо.

вы имеете в виду файрвол для приложений, поделитесь настройкой, или iptables?

alsoijw · 22 мая 2015, 11:23:55

Babay, если его можно перебрать, то это можно сделать быстро.

yura_n · 22 мая 2015, 15:21:39

Цитата: sidbar от 22 мая 2015, 09:39:52
вы имеете в виду файрвол для приложений, поделитесь настройкой, или iptables?

Вообще я имел в виду iptables/netfilter. Но такие системы, как Tomoyo 1.8.x (не та версия, которая по умолчанию в ядре) позволяют контролировать и отдельно приложения.

sidbar · 22 мая 2015, 16:33:15

Цитата: yura_n от 22 мая 2015, 15:21:39Tomoyo 1.8.x (не та версия, которая по умолчанию в ядре) позволяют контролировать и отдельно приложения.

не совсем понял как им пользоваться, предлагают лайвсиди качать, это у них распространяется так дистр с цент ос?

yura_n · 22 мая 2015, 17:18:05

Цитата: sidbar от 22 мая 2015, 16:33:15не совсем понял как им пользоваться, предлагают лайвсиди качать, это у них распространяется так дистр с цент ос?

Не совсем. Это патч к ядру. А в дистрибутиве ядро уже пропатченное. Видимо предлагают попробовать. Я сам дистрибутив не устанавливал, просто ядро патчил.

sidbar · 22 мая 2015, 17:34:14

Цитата: yura_n от 22 мая 2015, 17:18:05Я сам дистрибутив не устанавливал, просто ядро патчил.

как его пропатчить, какой у этой тулсы принцип работы, как она кофигурируется?

yura_n · 22 мая 2015, 18:28:39

Цитата: sidbar от 22 мая 2015, 17:34:14как его пропатчить

Все это должно быть на их сайте. Но краткая инструкция (для себя составлял) вот:

Цитировать
Установка Tomoyo 1.8.x.

В первую очередь следует скачать необходимые файлы. Репозиторий Tomoyo несколько мутноватый. Нужно зайти по ссылке:
http://jaist.dl.sourceforge.jp/tomoyo . Отыскать там новую версию. Далее что-нибудь вроде:

wget http://jaist.dl.sourceforge.jp/tomoyo/49684/ccs-patch-1.8.3-20150112.tar.gz
wget http://jaist.dl.sourceforge.jp/tomoyo/49684/ccs-patch-1.8.3-20150112.tar.gz.asc

Получение открытого gpg ключа.

wget http://i-love.sakura.ne.jp/kumaneko-key

Добавление gpg ключа.

gpg --import kumaneko-key

Далее проверка файла, примерно так:

gpg ccs-patch-1.8.3-20150112.tar.gz.asc

Затем примерно так:

cp ccs-patch-1.8.3-20150112.tar.gz /usr/src/linux
cd /usr/src/linux
tar xvfz ccs-patch-1.8.3-20150112.tar.gz

В зависимости от версии ядра выбрать патч и пропатчить:

patch -sp1 < patches/ccs-patch-3.14.diff

Далее, соответственно:

make oldconfig
make prepare
make modules_prepare
make menuconfig

Отыскать в разделе Security добавленные пункты, настроить их, если нужно.
Затем собрать ядро.

P.S. Еще надо будет настроить логирование.

Цитата: sidbar от 22 мая 2015, 17:34:14какой у этой тулсы принцип работы

Путем построения списков правил, с использованием регулярных выражений, устанавливаются ограничения для различных программ.

Цитата: sidbar от 22 мая 2015, 17:34:14как она кофигурируется?

Конфигурируется с помощью инструментов пакета ccs-tools.

sidbar · 22 мая 2015, 19:43:41

yura_n, спасибо за конфиг, надо как-то собраться попробовать, боюсь квалификации не хватит все правильно сделать. А программу apparmor вы пробовали, она хуже этой?

yura_n · 22 мая 2015, 19:53:10

Цитата: sidbar от 22 мая 2015, 19:43:41А программу apparmor вы пробовали, она хуже этой?

Если быть точным, то apparmor часть ядра. Одно время использовал. Неплохая штука, но те же сетевые соединения ограничивать не может. Да и в настройке Tomoyo поудобнее будет, на мой взгляд.

sidbar · 23 мая 2015, 08:36:43

yura_n А могли бы вы привести пример настройки Tomoyo ограничний для программы скайп, интересно посмотреть как выглядит?

yura_n · 23 мая 2015, 15:09:19

Цитата: sidbar от 23 мая 2015, 08:36:43yura_n А могли бы вы привести пример настройки Tomoyo ограничний для программы скайп, интересно посмотреть как выглядит?

Как выглядит в общих чертах - показать могу.
Редактор доменных переходов (в ccs-editpolicy):

Редактор политик:

Это не весь список правил и даже не факт, что он рабочий - я его составлял наверное год или больше назад и с тех пор Skype не использовал.

sidbar · 24 мая 2015, 07:46:30

Цитата: yura_n от 23 мая 2015, 15:09:19Как выглядит в общих чертах - показать могу.

и где на скринах список правил с использованием регулярных выражений? похоже на вывод ядра списка обращений к модулям, хотелось бы на конфигурирование посмотреть

yura_n · 24 мая 2015, 16:13:42

sidbar, второй скриншот и есть список правил. Там-же и регулярные выражения присутствуют.

sidbar · 24 мая 2015, 16:48:14

Цитата: yura_n от 24 мая 2015, 16:13:42sidbar, второй скриншот и есть список правил. Там-же и регулярные выражения присутствуют.

и как определяются эти правила, их вручную надо вносить в конфиг файл? принцип работы не понятен, зачем такие сложности, когда от программы требуется ограничить исходящие соединения от приложений?

yura_n · 24 мая 2015, 18:15:23

Цитата: sidbar от 24 мая 2015, 16:48:14и как определяются эти правила, их вручную надо вносить в конфиг файл?

Вообще да. Но иногда можно просто копировать из лога.

Цитата: sidbar от 24 мая 2015, 16:48:14зачем такие сложности, когда от программы требуется ограничить исходящие соединения от приложений?

Ну, можно разрешить доступ к файловой (-ым) системе 5-10 правилами... Но вообще это не только и не сколько файервол для приложений.