反向防火墙或应用防火墙?
防火墙通常用于防止来自外部世界的不良“数据包”。 但是现在我们大多数都落后于路由器,路由器减轻了很多危险。 我们面临的危险主要来自内部。 众所周知的特洛伊木马。
在Windows世界中,有许多应用程序防火墙,OSX有一个称为“Little Snitch”的简洁实用程序,可以确保应用程序通过不请求其范围之外的数据来执行操作。 即便是我的iPhone,jail也有一个应用程序,可以防止应用程序访问其范围之外的网站。 令人惊讶的是他们“推送”到scorecard.com和各种苹果服务器等网站的数据量。 我禁用这些,应用程序仍然有效,所以我知道它没有必要。
在Linux世界中,这种情况似乎很少。 您可以使用iptables和perl中的其他一些脚本来克服它,以非常笨拙的方式获得结果。
这个post经常在提出这样的问题时被引用。
如何控制每个程序的互联网访问?
它没有回答这个问题。
他们谈论完全切断端口的防火墙,这不是大多数人想要的。 大多数人都希望应用程序X应该是一个本地应用程序,当它不需要与网络聊天时,它不会出去聊天。 或者访问雅虎天气的程序会转到与其访问天气工作无关的其他五个站点。 或者在我的iPhone上的一个银行应用程序在银行之外进入webtrends网站。 当然它与Ubuntu无关,但却是应用程序表现不佳的一个例子。
这篇文章中提到的另一个应用程序是Leopard Flower,它在一年内没有更新,我讨厌在Ubuntu即将发布的版本中继续运行。
与此区域相关的所有其他post都会继续为完全切断应用程序访问权限的应用程序提供建议,但不提供App X想要访问Web Y,允许或拒绝访问的简单“Little Snitch”概念。 没有复杂的iptable规则,没有总端口切断。
我是否足够努力或者Ubuntu根本没有“应用防火墙”?
AppArmor的
AppArmor是基于名称的访问控制的Linux安全模块实现。 AppArmor将各个程序限制为一组列出的文件和posix 1003.1e草稿function。
以下链接。
SE Linux是Linux应用程序级防火墙的一个例子,但它非常难以实现它。
我不知道你发现apparmor如此糟糕。 当然,它需要一些阅读手册页。 但除此之外,我觉得它很容易使用。
我过去使用个人(即应用程序)防火墙,当时我还在使用Windows(在工作中)。 除了缺少GUI之外,我没有找到任何缺乏的apparmor。 然而,反过来,它提供了额外的安全function – 您不能通过一个程序来阻止DoS攻击,该程序只是通过Windows的个人防火墙来占用资源,而您可以使用apparmor来执行此操作。
此外,它有很好的诊断和管理工具 – 查找aa-unconfined和所有其他aa- *命令(你需要先安装apparmor-utils)。
您将看到即使使用安装默认Ubuntu系统时获得的最小配置,您仍然可以得到很好的保护。 这与setuid机制和几个需要Linux特权的低级操作有很大关系 – 大多数应用程序都不会直接访问网络。
除此之外,请查看Tomoyo。 它还没有像apparmor或SELinux那样成熟,但我认为它值得一试。
我建议您查看我的应用http://douaneapp.com/ 。
它是一个应用程序防火墙,限制每个应用程序的网络访问。 随时给我发表评论和反馈。