Возникают процессы из ниоткуда.

Автор sx88, 19 мая 2015, 17:49:39

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

sidbar

Цитата: yura_n от 20 мая 2015, 16:40:30
Настройка файервола, так как любое приложение, которое смотрит в сеть, может быть потенциально уязвимо.
вы имеете в виду файрвол для приложений, поделитесь настройкой, или iptables?
Devuan GNU/Linux

alsoijw

Babay, если его можно перебрать, то это можно сделать быстро.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

yura_n

Цитата: sidbar от 22 мая 2015, 09:39:52
вы имеете в виду файрвол для приложений, поделитесь настройкой, или iptables?
Вообще я имел в виду iptables/netfilter. Но такие системы, как Tomoyo 1.8.x (не та версия, которая по умолчанию в ядре) позволяют контролировать и отдельно приложения.

sidbar

Цитата: yura_n от 22 мая 2015, 15:21:39Tomoyo 1.8.x (не та версия, которая по умолчанию в ядре) позволяют контролировать и отдельно приложения.
не совсем понял как им пользоваться, предлагают лайвсиди качать, это у них распространяется так дистр с цент ос?
Devuan GNU/Linux

yura_n

Цитата: sidbar от 22 мая 2015, 16:33:15не совсем понял как им пользоваться, предлагают лайвсиди качать, это у них распространяется так дистр с цент ос?
Не совсем. Это патч к ядру. А в дистрибутиве ядро уже пропатченное. Видимо предлагают попробовать. Я сам дистрибутив не устанавливал, просто ядро патчил.

sidbar

Цитата: yura_n от 22 мая 2015, 17:18:05Я сам дистрибутив не устанавливал, просто ядро патчил.
как его пропатчить, какой у этой тулсы принцип работы, как она кофигурируется?
Devuan GNU/Linux

yura_n

#21
Цитата: sidbar от 22 мая 2015, 17:34:14как его пропатчить
Все это должно быть на их сайте. Но краткая инструкция (для себя составлял) вот:
Цитировать
Установка Tomoyo 1.8.x.

В первую очередь следует скачать необходимые файлы. Репозиторий Tomoyo несколько мутноватый. Нужно зайти по ссылке:
http://jaist.dl.sourceforge.jp/tomoyo . Отыскать там новую версию. Далее что-нибудь вроде:

wget http://jaist.dl.sourceforge.jp/tomoyo/49684/ccs-patch-1.8.3-20150112.tar.gz
wget http://jaist.dl.sourceforge.jp/tomoyo/49684/ccs-patch-1.8.3-20150112.tar.gz.asc


Получение открытого gpg ключа.

wget http://i-love.sakura.ne.jp/kumaneko-key


Добавление gpg ключа.

gpg --import kumaneko-key


Далее проверка файла, примерно так:

gpg ccs-patch-1.8.3-20150112.tar.gz.asc


Затем примерно так:

cp ccs-patch-1.8.3-20150112.tar.gz /usr/src/linux
cd /usr/src/linux
tar xvfz ccs-patch-1.8.3-20150112.tar.gz

В зависимости от версии ядра выбрать патч и пропатчить:

patch -sp1 < patches/ccs-patch-3.14.diff


Далее, соответственно:

make oldconfig
make prepare
make modules_prepare
make menuconfig

Отыскать в разделе Security добавленные пункты, настроить их, если нужно.
Затем собрать ядро.

P.S. Еще надо будет настроить логирование.

Цитата: sidbar от 22 мая 2015, 17:34:14какой у этой тулсы принцип работы
Путем построения списков правил, с использованием регулярных выражений, устанавливаются ограничения для различных программ.

Цитата: sidbar от 22 мая 2015, 17:34:14как она кофигурируется?
Конфигурируется с помощью инструментов пакета ccs-tools.

sidbar

yura_n, спасибо за конфиг, надо как-то собраться попробовать, боюсь квалификации не хватит все правильно сделать. А программу apparmor вы пробовали, она хуже этой?
Devuan GNU/Linux

yura_n

Цитата: sidbar от 22 мая 2015, 19:43:41А программу apparmor вы пробовали, она хуже этой?
Если быть точным, то apparmor часть ядра. Одно время использовал. Неплохая штука, но те же сетевые соединения ограничивать не может. Да и в настройке Tomoyo поудобнее будет, на мой взгляд.

sidbar

yura_n А могли бы вы привести пример настройки Tomoyo ограничний для программы скайп, интересно посмотреть как выглядит?
Devuan GNU/Linux

yura_n

#25
Цитата: sidbar от 23 мая 2015, 08:36:43yura_n А могли бы вы привести пример настройки Tomoyo ограничний для программы скайп, интересно посмотреть как выглядит?
Как выглядит в общих чертах - показать могу.
Редактор доменных переходов (в ccs-editpolicy):

Редактор политик:

Это не весь список правил и даже не факт, что он рабочий - я его составлял наверное год или больше назад и с тех пор Skype не использовал.

sidbar

Цитата: yura_n от 23 мая 2015, 15:09:19Как выглядит в общих чертах - показать могу.
и где на скринах список правил  с использованием регулярных выражений? похоже на вывод ядра списка обращений к модулям, хотелось бы на конфигурирование посмотреть
Devuan GNU/Linux

yura_n

sidbar, второй скриншот и есть список правил. Там-же и регулярные выражения присутствуют.

sidbar

Цитата: yura_n от 24 мая 2015, 16:13:42sidbar, второй скриншот и есть список правил. Там-же и регулярные выражения присутствуют.
и как определяются эти правила, их вручную надо вносить в конфиг файл? принцип работы не понятен, зачем такие сложности, когда от программы требуется ограничить исходящие соединения от приложений?
Devuan GNU/Linux

yura_n

#29
Цитата: sidbar от 24 мая 2015, 16:48:14и как определяются эти правила, их вручную надо вносить в конфиг файл?
Вообще да. Но иногда можно просто копировать из лога.
Цитата: sidbar от 24 мая 2015, 16:48:14зачем такие сложности, когда от программы требуется ограничить исходящие соединения от приложений?
Ну, можно разрешить доступ к файловой (-ым) системе 5-10 правилами... Но вообще это не только и не сколько файервол для приложений.