sda00 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DarkAir да. AppArmror от Novell (SuSE) а в Солярке возможен полный контроль - память, проц, квоты... всё в общем Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 05:44 15-03-2007

keyhell Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору опишите конкретно: что, зачем и как вы хотите "файрволить". Всего записей: 1395 | Зарегистр. 10-08-2003 | Отправлено: 09:57 15-03-2007

DarkAir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору keyhell Для приложений которым я считаю нужным дать в доступ в интернет, прописать конкретно по каким портам на какой диапазон можно отправлять/получать данные (для каждого отдельно, диапазоны могут пересекаться), всё остальное блокировать, что подробно расписывать то? Нигде невижу в справке к iptables привязки к uid/gid, так ведь наверное потому что ip tables Слабая защита получается, предполагает использование рабочей среды с недоверенными приложениями а не как cервер. Всего записей: 140 | Зарегистр. 18-02-2005 | Отправлено: 13:04 15-03-2007

DarkAir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ZaqwrKos Цель: реализация принципа минимальных привилегий, чтобы для каждого приложения прописать разрешить пересылку данных только по тем портам/адресам/протоколам по которым они в теории и должны работать. Тогда любое отклонение от нормы (использование браузером дополнительных портов (как на форуме хакер.ru например)) сразу же будет видно. Так можно быстро обнаружить отсылку данных приложением не туда куда надо, любой троян, вирь и т.п. Создается не сервер с заданным набором ПО а рабочая среда для которой не применимо в полном смысле понятие trusted environment, предполагается наличие ряда приложений которые могут производить нежелательную деятельность (т. п. проверка ключей, обновление, сгрузка рекламы и т.д.). Под linux сейчас это пока ещё мало актуально, но количество проприетарного по растет (касперский, vmware...) и всякая зараза с популярностью платформы переползает и сюда. Видел тут в соседнем треде говорят что под линуксом приложения сами без спроса никуда не лазят - имхо гон за обновлениями еще как лазят, итак уже mandriva как вторая винда, 3d меюшки, всякая гадость. Под виндой есть возможность хоть как-то защитится от этого, а тут вообще голый беззащитный совсем  сидишь Смысл в контроле ВСЕХ приложений. Всего записей: 140 | Зарегистр. 18-02-2005 | Отправлено: 17:02 15-03-2007

sda00 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DarkAir AppArmor + конфиги софта из trusted environment. Реально. Но Ваш подход, как бы это так сказать, слишком M$-вый что ли... Цитата: Видел тут в соседнем треде говорят что под линуксом приложения сами без спроса никуда не лазят да. именно. если лезут - то в терминах LOR-а: недобыдлоадминен кляйне дейч зольдатен делать квадратиш и практиш топливо для фтопка Цитата: Под виндой есть возможность хоть как-то защитится от этого, а тут вообще голый беззащитный совсем  сидишь а вот это и есть первое ощущение вендоадминен, пришедшего в *nix. Ибо основная угроза здесь - это неправильно сконфигурированные запущенные сервисы (...админен...) + rootkit (...админен...) + ессно iptables....   Цитата: Цель: реализация принципа минимальных привилегий, чтобы для каждого приложения прописать разрешить пересылку данных только по тем портам/адресам/протоколам по которым они в теории и должны работать.   Решение: вобор соответствующих приложений и их конфигурация + правильная конфигурация юзеров и групп для Вашей рабочей (хм) среды. Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 00:34 16-03-2007 | Исправлено: sda00, 00:37 16-03-2007

keyhell Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DarkAir, я не буду с вами спорить и убеждать в чем-то.   в Linux/UNIX есть механизмы, которые в полной мере позволяют контролировать приложения. механизмы эти, в силу прозрачности реализации всего, что касается привилегий, намного более простые и прозрачные чем в MS Windows/DOS/ или с чем вам угодно сравнивать.   честно говоря, вот это описание от вас меня несколько насторожило: Цитата: Хотелось бы решить задачу на подобии такой: приложение 1 может получать/отправлять по tcp 80 данные по всем адресам приложение 2 может получать/отправлять  по tcp/udp >1000 данные по ряду адресов, но порт 80 использовать не может приложение 3 может получать/отправлять  по tcp 80 данные только по заданным адресам всем остальным приложениям доступ в интернет запрещён   в купе с вопросом о том, как это сделать - это чистейшей воды непонимание того, как работают современные файрволлы.   увы, но для того, чтобы сделать то, что вы хотите (да и вообще все, что угодно!) на UNIX, надо читать и изучать систему.   а у ж механизмов различных "защит" тут море: начиная от простейшего контроля по ID (uid, euid, suid, ... ) до MAC. Один из лучших файрволлов pf есть в OpenBSD и FreeBSD. Chroot, Jail, etc.   короче говоря, вам будет проще на винде, ибо читать как видно, вы не пробовали. Всего записей: 1395 | Зарегистр. 10-08-2003 | Отправлено: 10:56 16-03-2007

DarkAir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору keyhell Цитата: полной мере позволяют контролировать - хотелось бы верить, но что-то невидно Цитата: современные файрволлы. - скажите пожалуйста в чём же такое глобальное отличие в работе современных файрволов от преведущих поколений Цитата: читать супер, а в винде чтобы что-то нормально настроить читать ненадо, можно только тыкать Цитата: есть механизмы вы бы сразу их в коплексе для решаемой задачи привели в первом ответе и небыло бы никаких "споров", что действительно за такие безимянные механизмы? Цитата: это описание - а что такого в этом описании? незнал что под виндой и линуксом такие различия в постановке заданий. Приведите кстати правильную постановку для данной задачи, или сама задача какая-то нетакая? не имеет права на существование? Цитата:  намного более простые и прозрачные   -если они такие простые не быстрее ли было бы их описать или указать, чем писать ваш пост? Цитата: чистейшей воды непонимание - спасибо буду знать, с вас линки Цитата: uid, euid, suid, Цитата: MAC - как всё это относится к моей задаче? Цитата: вам будет проще на винде - спасибо в следующий раз за себя решайте Цитата: не пробовали - да не только пробовал, по другим вопросам уже кое-чего нарешал вы бы хоть имена этих механизмов привели что-ли, а то как я в google их искать то буду? (кстати это случаем не механизм gcc ), пока что по запросам к тому же google у меня сложилось ощущение что большинство линуксоидов про файрволл вообще ничего незнают и никогда им не пользовались. Перечитывать терабайты всей подряд документации идущей с линух желанием не горю, указали бы лучше направление поиска. Вы вообще всё время так посылаете новичков на... и включаете пипи....метры или только когда вопрос подрывает идеологическую линию?   sda00 Цитата: рабочей (хм) среды - да знаете линукс поставил чисто в тетрис поиграть, спасибо на добром слове Всего записей: 140 | Зарегистр. 18-02-2005 | Отправлено: 17:16 16-03-2007 | Исправлено: DarkAir, 17:51 16-03-2007

sda00 Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору DarkAir вот про таких как ВЫ и пишут на ЛОР-е: недобыдлоадминен и тд... и тп... и это - самое мягкое, что могу сказать о Вас в этой ситуации.   ответ Вам здесь уже дали (причём без использования AppArmor, а родными средствами iptables. Квалифицированный и Грамотный ответ). Вы от ответа отмахнулись, ибо Вы - невежда и читать не умеете. Могу лишь Вам посоветовать и дальше продолжать себя вести в том же духе - глядишь будет толк...   Всего записей: 928 | Зарегистр. 15-02-2004 | Отправлено: 18:50 16-03-2007 | Исправлено: sda00, 18:52 16-03-2007

keyhell Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DarkAir, не зная вашего возраста и квалификации не буду делать выводов об общем уровне администраторских знаний, но про Linux/UNIX скажу точно: пока не поймете систему ничего у вас не будет.   что касается ваших комментов - вы сами все показали. привычка дергать по отдельному слову это явный и четкий признак. выдернули из контекста - автоматически означает, что говорить с вами не о чем.   удачи вам в ваших поисках. все, что было нужно, уже было сказано. Всего записей: 1395 | Зарегистр. 10-08-2003 | Отправлено: 19:02 16-03-2007

DarkAir Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору sda00 Цитата: ответ - желаемое не надо выдавать за действительное, контроль по user id, group id не может дать тоже что и контроль отдельных приложений, я так понимаю что для того чтобы чем-то так управлять прийдется под каждое приложение создавать нового пользователя - это то что вы предлагали в своём квалифициорованном ответе? Тем более не gid не sid не действуют на входящие соединения. keyhell Цитата: Вы от ответа отмахнулись (sda00) ZaqwrKos На названии не знаю, причем здесь оно. Вы винду под эмулятором поставьте сами и посмотрите как на ней это можно сделать, откуда я знаю точную работу закрытых механизмов, там контроль можно реализовать с предварительной проверкой имени&пути&md5 приложения. Цитата: десяток одноимённых приложений - как же она бедная трилионы операций в секунду выполняет а с этим не справится? Насчёт задачи - всё указано выше. Имена конкретных приложений излишне, зачем? чтобы вы могли предложить мне поиск обходных путей ещё каким-то способом? Меня интересует решения задачи так как она была поставлена с самого начала. Насколько я понял решить её вообще под linux нельзя. keyhell & sda00 видимо умеют решать данную задачу, я посмотрю ещё может быть чего и напишут полезного. Всего записей: 140 | Зарегистр. 18-02-2005 | Отправлено: 01:52 17-03-2007

Страницы: 1 2

Компьютерный форум Ru.Board » Операционные системы » UNIX » firewall

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование