防火牆通常用於防止來自外部世界的不良「資料包」。但現在我們大多都在路由器後面,路由器減輕了許多危險。我們面臨的危險主要來自內部。眾所周知的特洛伊木馬。
在 Windows 世界中,有許多應用程式防火牆,而 OSX 有一個名為「Little Snitch」的簡潔實用程序,它可以透過不要求超出其範圍的資料來確保應用程式的行為。即使我的越獄 iPhone 也有一個應用程序,可以阻止應用程式訪問其範圍之外的網站。他們「推送」到 Scorecard.com 等網站和各種蘋果伺服器的數據量令人驚訝。我禁用這些應用程式仍然可以工作,所以我知道它沒有必要。
在 Linux 世界中,類似的情況似乎很少。您可以將它與 Perl 中的其他一些腳本混用,iptables以一種非常笨拙的方式獲得結果。
以這篇文章為例,當提出這樣的問題時,它會經常被引用。
它沒有回答問題。
他們談論的防火牆完全切斷了端口,這不是大多數人想要的。大多數人想要的是應用程式X(應該是本機應用程式)在不需要與網路聊天時不會出去與網路聊天。或者,造訪雅虎天氣的程式會造訪與其造訪天氣工作無關的其他五個網站。或者,在我的 iPhone 上的銀行應用程式中,可以從銀行前往 webtrends 網站。當然,它與 Ubuntu 無關,但卻是應用程式表現不佳的一個例子。
這篇文章中提到的另一個應用程式是 Leopard Flower,它已經一年沒有更新了,我不想讓它在即將發布的 Ubuntu 中繼續運行。
與此領域相關的所有其他帖子都在不斷推薦完全切斷應用程式訪問權限的應用程序,但沒有提供 App X 想要訪問 Web Y、允許或拒絕訪問的簡單“小告密者”想法。沒有複雜的 iptable 規則,沒有完全的連接埠切斷。
我是否足夠仔細地觀察過,或者 Ubuntu 根本沒有「應用程式防火牆」?
答案1
應用裝甲
AppArmor 是基於名稱的存取控制的 Linux 安全模組實作。 AppArmor 將各個程式限制為一組列出的文件和 posix 1003.1e 草案功能。
下面的連結。
答案2
SE Linux 是 Linux 應用程式級防火牆的一個範例,但由於其非常徹底,實施起來相當困難。
答案3
我不知道你覺得 apparmor 有什麼不好的地方。當然,這需要閱讀一些手冊頁。但除此之外,我發現它很容易使用。
我過去使用過個人(即應用程式)防火牆,當時我還在使用 Windows(工作中)。我不認為 apparmor 有任何缺陷,除了缺少 GUI 之外。然而,反過來,它提供了額外的安全功能 - 使用 Windows 個人防火牆無法阻止僅佔用資源的程式進行的 DoS 攻擊,而使用 apparmor 可以做到這一點。
此外,它還有很好的診斷和管理工具 - 尋找 aa-unconfined 和所有其他 aa-* 命令(您需要先安裝 apparmor-utils)。
您會發現,即使使用安裝預設 Ubuntu 系統時獲得的最低配置,您仍然受到良好的保護。這與 setuid 機制和一些需要 Linux 特權的低階操作有很大關係 - 大多數應用程式不會直接存取網路。
除此之外,請看看燈世。它還不像 apparmor 或 SELinux 那麼成熟,但我認為值得一試。
答案4
我可以建議您看看我的應用程式嗎http://douaneapp.com/。
它是一個應用程式防火牆,限制每個應用程式的網路存取。請隨時向我發送評論和反饋。