Vlákno názorů k článku Mají viry na Linuxu skutečně zelenou? od Navi - Existuje uz pro linux nejaky personal firewall, obsluhovatelny...
-
Navi (neregistrovaný)Existuje uz pro linux nejaky personal firewall, obsluhovatelny uzivatelem, nebo cokoli se na linuxu pusti automaticky muze vysilat kam se mu zlibi?
Videl jsem kdysi extension pro iptables, ktera umoznovala kontrolovat spojeni podle puvodce, lec moznosti pouziti na desktopu mizive - pracovat s nimi mohl (samozrejme) pouze root, vse se muselo rucne pridavat, moznost ze by vyskocilo okno "neznama aplikace se snazi pripoji, ano/ne" snem budoucnosti...
Zlepsilo se to od te doby? -
pm (neregistrovaný)Ono v multiuživatelské prostředí to je problém, většina informací by byla k ničemu. FW řízený uživatelem je NESMYSL, iptables jsou součástí jádra, proto root. Ani bych nectěl, aby to bylo jinak. Představoval bych si řešení na i-notify, nebo lsof. Obecně si myslím, že uživatelský FW vyřešit jde, nepovažoval bych to za užitečnou věc.
-
Navi (neregistrovaný)Rozhodne nesouhlasim, ze uzivatelsky firewall je neuzitecny - kolik informaci o podlych programech tajne vysilajicich do internetu, to na windows odhali a umozni tak zablokovat? Na linuxu pokud spustim aplikaci, nemam moznost ji ridit pristup do internetu - bud ji nespustim vubec, nebo muze kamkoli.
Desktop neni serverova stanice, nad kterou je naprosta kontrola a nic co tam admin nenahraje, se tam nezpusti (a pokud se bude vynucovat pouze spousteni aplikaci schvalenych adminem domaciho pocitace, moc daleko to na tech domacich pocitacich linux nedotahne)
Princip prace by preci nemusel byt tak slozity - v systemu by bezel demon, ktery po po prihlaseni uzivatele nahral do iptables pravidla, ktera znemozni vsem procesum vlastnenym danym uzivatelem, pripojeni do internetu. V pripade, ze by se o to pokusil novy, neznamy program, spojeni by pozdrzel (jak?), zeptal se uzivatele na dalsi krok (tj. neco bezici v userspace podle typu prihlaseni - console/X) a podle toho bud spojeni (a dalsi nasledujici) povoli nebo zakaze.
Po odhlaseni by pravidla smazal. -
Jirka (neregistrovaný)Az to bude potreba (bude se na Linuxu pouzivat tolik zavreneho softwaru, ze tohle zacne byt vazny problem), tak se to nejspis udela pomoci nejakeho hacku v jadre a demona, ktery bude komunikovat s jadrem pres API k tomu vytvorene. Demon muze byt zase "jen" backend pro nejakou grafickou aplikaci, treba pro KDE. Prijde mi to jako nejpohodlnejsi a nejcistejsi zpusob.
-
Shadow (neregistrovaný)Jestli bude někdy v Linuxu spyware (resp. podobného řešení bude třeba), pak lze očekávat, že něco podobného vznikne. Konec konců, už dneska máme "osobní" FW jako Firestarter nebo systémy typu AppArmor.
-
iptables ma modul owner, ktery umoznuje rozlisovat packety podle uzivatele, skupiny, pid programu, session nebo nazvu programu. Neni problem pri startu systemu zalozit chain pro kazdeho uzivatele (resp. dva, vstup a vystup), pripojil je na spravne misto ve firewallu (nastavene administratorem nebo rovnou distribuci) a pridat setuid program ktery uzivateli umozni si s tim svym chainem hrat podle libosti - neni na to ani zapotrebi nejaky demon. Uzivatel si pak muze pustit vlastniho demona - klidne kazdy jineho, bezel by pod uzivatelem - ktery mu muze delat libovolne graficke skopiciny a povolovat ci zakazovat programy. (BTW, spojeni se pozdrzi tak, ze to proste zakazes a kdyz to uzivatel odklikne dost rychle, tak se jeste trefi do tcp retry).
Osobne souhlasim s tim, ze v ramci masoveho prechodu BFU na linux by takovy doplnek firewallu byl uzitecny doplnek. Mozna dokonce uz neco takoveho existuje ... -
BLEK. (neregistrovaný)Takové řešení je "security through obscurity" a moc to nefunguje:
Program se chce připojit, ale firewall mu brání. Program má spoustu možností:
* může přistupovat k adresnímu prostoru firefoxu nebo internet exploreru (pro která jsou spojení povolená) a modifikovat ho tak, aby spojení provedl.
* může si sám odkliknout to okno s dotazem "ano/ne"
* malware spuštěný uživatelem má stejná práva jako uživatel, takže pokud uživatel může tu ochranu vypnout, malware to může udělat taky
Zajímalo by mě --- řeší nějak windows situaci, kdy se malware nacpe třeba do procesu explorer.exe a pak si vypne firewall a antivirus uplně stejně, jako kdyby to vypnul uživatel? Eventuálně ještě překreslí okno "security center" zelenými hláškami, aby nebylo nic poznat? -
BLEK. (neregistrovaný)Ale většina BFU uživatelů ve windows nepoužívá zvláštní účet na nastavení firewallu --- prostě si to nastaví ze svého účtu. Takže, pokud to může uživatel vypnout aniž by se přihlašoval na jiný účet, nemůže to vypnout i ten malware? Nebo se tam nějak zvlášť řeší, že explorer.exe běží s nějakými jinými právy než ostatní uživatelovy programy, aby do něj nemohly? --- to se mi nějak nezdá.
BTW. Administrátor může minimálně zapisovat fyzicky na disk, a odtud může vlézt do swapfile, do odswapovaných stránek z kernelu a do všeho. Nedávno přes to někdo cracknul betaverzi Visty. Jak to opravili ve finální Vistě? -
mike (neregistrovaný)Muze. Ale musel by to umet pro kazdy personal firewall a kazdou jeho verzi. Ono jich je pomerne hodne. Ledaze by zustal u toho defaultiho, ale proc by to vlastne delal? BFU, ktery klikne na prilohu v mailu, odklepne sam i to varovani.
Jinak ano, pod Vistou s UAC muze exploder bezet s jinymi uzivatelskymi pravy.
Opravili to tak, ze primy zapis na disk s pagefile zakazali i administratorum (IIRC).
