Antiviry a Anonymita (Proč se o tom nemluví?)

Jenda

Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #60 kdy: 27. 04. 2017, 22:25:43 »
Tak GUI pro firewall?

https://gufw.org/
https://www.linux-apps.com/content/show.php/UFW+KControl+Module?content=137789

Promiň, ale čteš a rozumíš tomu, co píšu? Jak že tohle dělá to, o čem jsem psal?

A pro selinux?

https://pandeyarpit.wordpress.com/selinux-an-introduction/selinux-gui-overview/

To už je trochu lepší, ale furt to má k tomu dost daleko.


Hans

Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #61 kdy: 28. 04. 2017, 04:07:51 »
Souhlasím naprosto s Jendou.

Tady nejde o to, že by nějaká aplikace z oficiálních a zkontrolovaných repozitářů cíleně něco odesílala.co je potřeba blokovat...

Ale u žádné distribuce Linuxu nemůžeš!!! tvrdit že je přece zkontrolována, a tak se není čeho bát.
Není to tak dlouho co na Linux Mintu byly dokonce napadeny celé ISO obrazy https://www.linux-mint-czech.cz/pozor-na-napadene-iso-obrazy/

A kdo někdy do Linuxu neinstaloval něco co nepochází z ověřených zdrojů ať hodí kamenem.


Další věc je ta že na Windows a na Linuxu jsou programy které používáme denně a nepotřebují nic odesílat ven do internetu ale stejně se tak děje.

A to že ta aplikace potřebuje kontrolovat aktualizace a pak vidím traffic 600mb je blbost.


Paradox je že třeba Java na Linux nemá oficiální distribuci takže taky musíš věřit té a té skupině pro svoji distribuci že je v pořádku.

Proto si myslím že firewall je na Linuxu naopak víc potřeba jak na Windows.


A je fakt že ten Windows Firewall Control bych předělal a naházel ho do všech linuxových distribucí povinně.
Nic lepšího zatím neexistuje.

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #62 kdy: 28. 04. 2017, 06:59:43 »
Zkusil jsem to gufw a ne, to neni o cem zde piseme. To se nezepta, kdyz se neznama aplikace pokousi pripojit ven, to se chova stejne jako iptrables - dokud sam nevytvoris pravidlo, tak bude aplikovat vychozi politiku. Nam jde o to, ze pri pokusu o pripojeni neznamou aplikaci nebo treba znamou aplikaci ale na neznamy (= pravidly nespecifikovany) port se to uzivatele samo zepta pomoci GUI dialogu.

To Douane (pekne nevhodne zvolene jmeno, naprosto nezapamatovatelne) asi ani nezkusim. V ofic buntu repu to neni, svoje repo to asi nema, balik to nema a prekladat rucne projekt sestavajici z nekolika modulu opravdu nebudu. Uz jen proto, ze se mi fakt nechce resit, kdy zaplatovali nejakou diru, ze musim vse rucne znovu pososat, prelozit a nainstalovat novou verzi. Bezpecnosti soft ma byt v ofico repozitari, nebo ma mit svuj, jinak je IMO nesmysl to pouzivat.

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #63 kdy: 28. 04. 2017, 08:46:06 »
Zkusil jsem to gufw a ne, to neni o cem zde piseme. To se nezepta, kdyz se neznama aplikace pokousi pripojit ven, to se chova stejne jako iptrables - dokud sam nevytvoris pravidlo, tak bude aplikovat vychozi politiku. Nam jde o to, ze pri pokusu o pripojeni neznamou aplikaci nebo treba znamou aplikaci ale na neznamy (= pravidly nespecifikovany) port se to uzivatele samo zepta pomoci GUI dialogu.

To Douane (pekne nevhodne zvolene jmeno, naprosto nezapamatovatelne) asi ani nezkusim. V ofic buntu repu to neni, svoje repo to asi nema, balik to nema a prekladat rucne projekt sestavajici z nekolika modulu opravdu nebudu. Uz jen proto, ze se mi fakt nechce resit, kdy zaplatovali nejakou diru, ze musim vse rucne znovu pososat, prelozit a nainstalovat novou verzi. Bezpecnosti soft ma byt v ofico repozitari, nebo ma mit svuj, jinak je IMO nesmysl to pouzivat.
Tak řekni rovnou, že hledáš důvody, proč to nejde. Jestli je to must have fičura, není Linux OS pro tebe. Jestli to tak důležitý není, tak se smiř s aktuálním stavem věcí.

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #64 kdy: 28. 04. 2017, 09:12:43 »
Zkusil jsem to gufw a ne, to neni o cem zde piseme. To se nezepta, kdyz se neznama aplikace pokousi pripojit ven, to se chova stejne jako iptrables - dokud sam nevytvoris pravidlo, tak bude aplikovat vychozi politiku. Nam jde o to, ze pri pokusu o pripojeni neznamou aplikaci nebo treba znamou aplikaci ale na neznamy (= pravidly nespecifikovany) port se to uzivatele samo zepta pomoci GUI dialogu.

To Douane (pekne nevhodne zvolene jmeno, naprosto nezapamatovatelne) asi ani nezkusim. V ofic buntu repu to neni, svoje repo to asi nema, balik to nema a prekladat rucne projekt sestavajici z nekolika modulu opravdu nebudu. Uz jen proto, ze se mi fakt nechce resit, kdy zaplatovali nejakou diru, ze musim vse rucne znovu pososat, prelozit a nainstalovat novou verzi. Bezpecnosti soft ma byt v ofico repozitari, nebo ma mit svuj, jinak je IMO nesmysl to pouzivat.
Tak řekni rovnou, že hledáš důvody, proč to nejde. Jestli je to must have fičura, není Linux OS pro tebe. Jestli to tak důležitý není, tak se smiř s aktuálním stavem věcí.

Ocividne to must have ficura neni, jinak bych to na desktopu neprovozoval. Ty duvody snad nejsou racionalni? Mit bezpecnostni soft, ktery si uzivatel musi prekladat sam? Musi sam sledovat aktualizace a vzdy to rucne aktualizovat? To bych nedelal ani na servru, kdybych musel kazdy den sledovat novinky, jestli se neobjevila nejaka bezpecnostni dira v iptables a kdyztak tomu venovat deset minut az hodiny (kdyz je nekde problem, napr. zavislosti) na preklad a nastaveni.

IMO tohle je jeden z duvodu (asi to ukazuje celkove i vec prisupu lidi kolem Linuxu), proc se Tuxovi na desktopu moc nedari. Ani tak zakladni vec jako aplikacni firewall s GUI nemame normalne (z repozitaze) dostupny. Pro Widle je to samozrejmost a je dokonce nekolik alternativ zadarmo (minimalne co se tyce mnozstvi nastaveni a privetivosti jsou v tomhle Widle na mile dopredu pred Tuxem).

Jiste, smiril jsem se s tim, ze holt budu mit ten dual boot (rozumne FW GUI je tedy spise mensi duvod, vice me boli nedostupnost softu, predevsim velkych her). Ale rozhodne to nevnimam jako idealni stav a pristupu "drzet hubu a krok" take neholduji, protoze tak se nikdy nic nezmneni.


ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #65 kdy: 28. 04. 2017, 10:50:00 »
Chápu správně, že do diskuze se vložili jedinci, kteří chtějí násilně zvyky z Windows přenášet do Linuxu, který věci dělá (chválabohu) jinak?

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #66 kdy: 28. 04. 2017, 11:11:57 »
V cem je "Linuxovy" pristup k aplikacnimu firewallu lepsi (bavime se o dekstopu)? Svete div se, na desktop chci mit klikatka. Chapu, ze na servrech se preferuje textova konfigurace a studovani dokumentace, neni problem i rucne si nektere veci prekladat (osobne bych si teda nic, co se tyka bezpecnosti, sam nebastlil/neprekladal, ale kdo si veri...). Desktop ma byt ale pouzitelny (UX) co nejlepe - proto jsou/mely by byt dostupne GUI na bezne veci (IMO nastavovani opravneni aplikaci je bezna vec), jinak konkurence (M$) uzivatele pretahne/udrzi u sebe.

n

Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #67 kdy: 28. 04. 2017, 11:30:53 »
Chápu správně, že do diskuze se vložili jedinci, kteří chtějí násilně zvyky z Windows přenášet do Linuxu, který věci dělá (chválabohu) jinak?

Chapu, ze - neumime to, dela se to blbe, nebo to nejde, ale prohlasime to za featuru? A kdo by neco chtel neco navic, tak je blbec, BFU, lama, magor z widli? Aneb - jen hlupaci pouzivaji kolo, kdyz ja mam kolebezku a staci mi to.... vsichni jsou blbi a jen 2% tomu rozumi....

ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #68 kdy: 28. 04. 2017, 12:12:40 »
Já vám váš názor a pohled na věc neberu. Jen mi to přijde podobné, jako když se mě uživatelé ptají, jestli mají v Linuxu, který jsem jim nainstaloval do PC antivir nebo jaký tam mají :), rozdíl mezi nimi a vámi vidím v tom, že když jim řeknu, že v Linuxu žádný nepotřebují, tak kvůli tomu nevyhlašují svatou válku za antiviry pro Linux :)

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #69 kdy: 28. 04. 2017, 12:25:13 »
Tak si to klikátko napiště, dám vám pár rad...

Vytvořte novou cgroup třeba unknownapp, ve které se bude defaultně spouštět všechno, co nepasuje na předchozí pravidla. Monitorujte /sys/fs/cgroup/net_cls/unknownapp/tasks , při změně souboru projděte PIDy, založte novou cgroup s nějakým náhodným identifikátorem, popřesouvejte do něj všechny PIDy dané aplikace (podle parent) a vytvořte iptables pravidla (budou potřeba nový iptables, který mají match na cgroup - 1.6.1 to umí) a zapište novou aplikaci do /etc/cgrules.conf.
Ty pravidla třeba něco jako
Kód: [Vybrat]
iptables -t mangle -A OUTPUT -m cgroup --cgroup $dalsi_cislo -j MARK --set-mark $dalsi_cislo
iptables -N $dalsi_cislo-APPFW
iptables -A OUTPUT -m mark --mark $dalsi_cislo -j $dalsi_cislo-APPFW
iptables -A $dalsi_cislo-APPFW -j LOG --log-prefix "APPFW - $dalsi_cislo - "
iptables -A $dalsi_cislo-APPFW -j DROP

Defaultně udělejte LOG a DROP a podle prefixu si to logujte do zvláštního souboru. Tento soubor opět monitorujte a pokud se objeví nový záznam, tak si zavolejte GUI klikátko. Tohle všechno se dá zvládnout i s bashem a pár nástroji.

Přichází na řadu GUI část - daemon zavolá GUI klikátko, které vám řekne, který program se pokouší kam lézt - zatrhnete povolit, zakázat, cokoliv a GUIovátko asi ideálně vrátí hodnotu daemonovi, kterej se podle toho zařídí a vytvoří/upraví dané pravidlo.

K tomu si vymyslete nějakou jednoduchou konfiguraci, kterou si bude daemon ukládat a při startu načítat, na prvním místě se načtou defaultně povolené komunikace, po té konfigurace aplikací a je vymalováno. Možná bych se ještě zamyslel nad whitelistem systémových nástrojů, které se budou spouštět v jedné společné cgroupě, aby neměla každá kravina svou vlastní.

Nezapomeňte na IPv6.

A máte pěkný linuxový projekt, základ je hotovej za pár hodin, a pak můžete ladit blbinky až do zblbnutí.
« Poslední změna: 28. 04. 2017, 12:27:22 od Tuxik »

Tuxik

  • *****
  • 1 473
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #70 kdy: 28. 04. 2017, 12:37:53 »
Mimochodem, když by se někomu opravdu chtělo, je možné třeba pro každou novou aplikaci nastavit další vymoženosti cgroups - omezit procesory, paměť, šířku pásma... dle libosti.

Jenda

Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #71 kdy: 28. 04. 2017, 14:08:41 »
rozdíl mezi nimi a vámi vidím v tom, že když jim řeknu, že v Linuxu žádný nepotřebují, tak kvůli tomu nevyhlašují svatou válku za antiviry pro Linux :)
Ale aplikační firewall je na Linuxu potřeba, jak ukazuje třeba ta moje stránka.

ByCzech

  • *****
  • 1 848
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #72 kdy: 28. 04. 2017, 14:26:17 »
rozdíl mezi nimi a vámi vidím v tom, že když jim řeknu, že v Linuxu žádný nepotřebují, tak kvůli tomu nevyhlašují svatou válku za antiviry pro Linux :)
Ale aplikační firewall je na Linuxu potřeba, jak ukazuje třeba ta moje stránka.

Jo jsou taky stránky, které ukazují, že je potřeba se nechat zachránit mimozemšťany :-D. Tenhle způsob argumentace je přinejmenším podivný.

Pokud je aplikační firewall potřeba, proč teda ještě neexistuje? Divné ne?

noef

  • *****
  • 897
    • Zobrazit profil
    • E-mail
Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #73 kdy: 28. 04. 2017, 14:31:25 »
Pokud je aplikační firewall potřeba, proč teda ještě neexistuje? Divné ne?

Pokud je Linux vhodny na desktop, proc neni vice pouzivany?

Aby to nebylo tim vasim pristupem - GUI nastroje neexistuji => (podle vas) nikdo je nechce/nepotrebuje, bohuzel take muze platit: nejsou GUI nastroje => lidi nebudou prechazet na nedodelany OS (pro desktop).

Petr

Re:Antiviry a Anonymita (Proč se o tom nemluví?)
« Odpověď #74 kdy: 28. 04. 2017, 14:51:58 »
Osobně vidím právě v malé rozšířenosti linuxu mezi masy BFU jako jeho hlavní výhodu.