"AppArmor заблокировать доступ в сеть"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Информационная безопасность (ПО для увеличения безопасности / Linux) | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "AppArmor заблокировать доступ в сеть" | +/– |  |
| Сообщение от sasha (??), 03-Май-21, 22:16 | ||
Все привет! Помогите, пожалуйста, с профилем для AppArmor | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
|
| Сообщения | [Сортировка по времени | RSS] |
| 1. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от Аноним (1), 03-Май-21, 22:59 | ||
Это всё как-то ненадёжно звучит, как и iptables. Пока что unshare лучшее решение. И unshare -r -n в частности. Сама программа хорошая (если конечно дело в ней) -- в отличие от coolreader нормально открывает epub (cr генерирует кеши полтора часа, долго открывает и перелистывает, с навигацией по оглавлению тоже беда, мобильная версия вообще не юзабельна на больших файлах). Но вот эти все захардкоженные литресы, я не знаю. Помнится, я даже патчил, чтобы заменять литрес на флибусту, хотя зачем вообще сеть читалке файлов без drm сегодня? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 2. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от sasha (??), 03-Май-21, 23:51 | ||
> unshare -r -n | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 3. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от Аноним (1), 04-Май-21, 00:00 | ||
Не знаю где это там, в моём fbreader литрес и все магазины прямо в бинаре и надо редактировать исходники и перекомпилировать. Unshare именно и отключает любую сеть, если нужен 127 то только от рута пускать и поднимать сеть наверно (во всяком случае я других способов не знаю). А, ну ещё nsenter наверно. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 4. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от sasha (??), 04-Май-21, 00:22 | ||
> Не знаю где это там, в моём fbreader литрес и все магазины | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 5. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от Аноним (1), 04-Май-21, 00:49 | ||
Это тот проприетарный с бэкдорами наверно, у меня ещё старый опенсорсный. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от sasha (??), 04-Май-21, 01:01 | ||
> Это тот проприетарный с бэкдорами наверно, у меня ещё старый опенсорсный. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 7. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от sasha (??), 04-Май-21, 20:44 | ||
Вообщем это похоже какие-то дистропроблемы. В debian apparmor с сетью не работает. Почитал английский инет и пишут, что отсутствует код, отвечающий за работу с сетевыми соединениями. В ubuntu apparmor сеть блокирует. Даже денишены писать не надо, так как все, что не разрешено, запрещено по-умолчанию | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 8. "AppArmor заблокировать доступ в сеть" | +/– | |
| Сообщение от Аноним (1), 08-Май-21, 17:48 | ||
Лично я написал запускалку в 3 строки, которая проверяет, отключилась ли сеть, и если да, то уже запускает приложение (через execve). По сути тот же unshare (я не помню, чтобы тот проверял что-либо, но в случае когда фейлится -- он останавливается). Изначально я делал форк и пытался делать что-то сложнее unshare вторым процессом, но что-то после unshare от юзера есть проблема -- у юзера нет совсем никаких прав, даже виртуальных. Вроде пришёл к тому чтобы добавить логику nsenter и изолировать доступ через файрвол, потому что приложениям всё же бывает необходим локалхост и связь с внешним миром (контролируемая). Но потом я убедился, что всяким гимпам всё же не нужна сеть, и unshare тут вполне хватает. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
