|
|
|
|
Strumenti |
25-06-2022, 20:20 | #1 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
configurazione firewall (qualunque distro)
Salve, mi domandavo se in ambiente linux ci fosse una configurazione di iptables o altro per bloccare tutto il traffico in uscita ad esclusione di alcuni programmi scelti da me.
quindi non protocollo, porta, ip ecc. ma tipo esce solo firefox, thunderbird e il sistema per l'accesso alla rete e nulla altro magari loggando anche le richieste di connessione verso l'esterno in modo da sapere chi e dove voleva comunicare. Cioè come si fa ad evitare che script, o programmi sconosciuti nel tuo profilo utente (magari scaricati per errore ) comunichino all'insaputa all'esterno chissà cosa? |
28-06-2022, 09:47 | #2 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 9516
|
|
29-06-2022, 08:30 | #3 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
Grazie della risposta ma forse non mi sono spiegato bene... non intendo la configurazione di un packet filtering che presuppone la conoscenza del programma / protocollo /range di porte..
intendo qualcosa che permetta di decidere a prescindere 1 2 10 programmi noti che possono uscire in rete e il resto è come se fosse il cavo scollegato esempi volutamente stupidi: hai due programmi di posta elettronica /browser, uno non lo puoi disistallare perchè integrato nell'ambiente grafico, vuoi usarne un altro e vuoi essere sicuro che solo il programma che hai scelto tu possa mandare e ricevere posta e nulla altro.. un malware nella tua home dentro un pdf o dove volete voi, si esegue da solo o lo esegui per errore e si collega a internet e scarica altro o fornisce info rubate.... col packet filtering come lo blocchi prima..... |
29-06-2022, 09:56 | #4 |
Senior Member
Iscritto dal: Apr 2004
Messaggi: 9516
|
|
29-06-2022, 11:12 | #5 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 4354
|
Si chiamano "application firewall".
Tipo OpenSnitch o Douane. Se usi dei flatpak, puoi anche usare Flatseal per dare il permesso di accesso alla rete alle varie app, come su android. |
29-06-2022, 14:30 | #6 | |
Senior Member
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1268
|
Quote:
https://help.ubuntu.com/community/Gufw A parte che, nel leggere la richiesta iniziale dell'utente h7_25, il primo pensiero che ho avuto è stato che la domanda era nata, probabilmente, in un contesto di confusione e preconcetti sull'argomento, e da un consolidato background in ambiente Windows. Mi sono chiesto perché l'utente sia preoccupato dal traffico in uscita da parte di un sistema Linux e dei suoi applicativi, specialmente nel caso in cui non stia eseguendo software proprietario ma open source... e perché tema che software o script scaricati per errore (solo scaricati, e non già compilati od installati da lui autenticandosi come root) facciano qualcosa a sua insaputa. Insomma, per me è proprio come è partita la discussione che non va bene... se mette l'intero pc in "nega tutto in uscita", significa che dovrà crearsi una white list chilometrica, con molteplici inutili rogne e necessità di notevole competenza solo per avere il sistema decentemente funzionante. Il tutto a che pro, su un sistema desktop? Meglio allora usare una di quelle distribuzioni live-usb ad orientamento paranoico con persistenza per quei pochi programmi che vorrà adoperare (browser, posta, torrent) . O no?
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 23.3_x64 Xfce Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 10 Pro 22H2 64 bit NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded |
|
29-06-2022, 18:20 | #7 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
Dunque gufw è il frontend grafico di ufw che peraltro non fa altro che che scrivere regole in iptables e le carica ad ogni avvio senza utilizzare il pacchetto iptables-persistent.
il firewall è funzionale (iptables), l'interfaccia è fatta male secondo me perchè la tab "registra" dà informazioni inutili tipo "rinominato profilo home in casa", la tab regole non fa vedere le regole (tutte) del firewall (sudo iptables -L -v), la tab report indica solo alcune connessioni (cups, chrome) ma ad esempio fai partire yt-dlp e scarichi 1giga e li non c'è traccia... lo vedi però con il comando netstat... gufw.. lasciamo perdere... usiamo direttamente ufw e controlliamo iptables... andiamo al dunque, vorrei abbandonare definitivamente windows ma ci sono alcune cose che non mi convincono pienamente in linux: chi garantisce che i pacchetti deb rpm distribuiti compilati siano effettivamente il prodotto della compilazione del codice pubblicato dallo sviluppatore e che non possa esistere un codice"pulito" e uno con qualche aggiunta? ce ne accorgiamo dopo dai log, no? vogliamo credere che in una distro con 80000 pacchetti e per ogni aggiornamento di essi c'è chi riceve il sorgente dai vari sviluppatori lo legge tutto lo approva lo compila lui della distro e lo distribuisce.... anche i programmini più marginali? miliardi di righe di codice da leggere e capire... io non ci credo.. quanti pacchetti ci sono installati di default? chi puo' garantire per ognuno di essi? se ho dubbi e prendo il sorgente pubblico compilo io si generano pacchetti confrontabili per hash col distribuito in precedenza? programmi che hanno i permessi di scrittura nella home dell'utente non possono aggiungere tipo "rm -Rf /home/xx >> .bashrc"? o tanti altri esempi + utili e divertenti? che poi il malware possa danneggiare il sistema solo da root mi interessa poco perchè il lavoro che c'è nella home vale + di 1000 installazioni il mio concetto di sicurezza è connessioni in ingresso stealth, nessuna risposta connessioni in uscita solo sistema e il minimo dei programmi indispensabili e non dare nulla per scontato (i virus non possono fare nulla, il firewall se non hai servizi in ascolto non serve...) in ambiente windows questa configurazione è possibile, in linux in tanti dicono che non serve opensnitch va effettivamente nella direzione che dico io però è una pre-release, sicuramente instabile, i pacchetti che scarichi non hanno un hash dichiarato e verificabile... da seguire comunque grazie Ultima modifica di h7_25 : 29-06-2022 alle 20:27. Motivo: aggiunta commento sw |
30-06-2022, 11:22 | #8 | |
Senior Member
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1268
|
Quote:
Cioè, arrivi da un sistema operativo che notoriamente e acclaratamente è uno spyware che raccoglie e opera telemetria della tua attività, e dispone di backdoor in ossequio alle leggi statunitensi, e non sei convinto pienamente di Linux? Ti poni il dubbio che software protetto dalla licenza GPL, di cui sono disponibili i sorgenti e che dunque puoi pure compilarti (e che se possedessi le competenze necessarie potresti controllare e modificare da solo), possa "fregarti" inviando dati a tua insaputa? Puoi anche passare le serate leggendo i log di iptables, di netstat e compagnia bella, ma mi sembra un esercizio fine a se stesso, se alla fine hai Linux installato sul portatile personale (come il sottoscritto). Fosse un genuino desiderio di imparare (però dal messaggio non sembrerebbe), sarebbe lodevole, ma così vedo solo preoccupazioni eccessive... per un utente normale, intendo... un utente che usa una connessione ad IP dinamico, che adopera un router commerciale, che deve navigare, leggersi la posta, scaricare qualcosa e poco più.
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 23.3_x64 Xfce Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 10 Pro 22H2 64 bit NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded |
|
01-07-2022, 16:33 | #9 | ||
Senior Member
Iscritto dal: Jul 2006
Messaggi: 1175
|
Quote:
Per rispondere alla domanda del topic, la cosa piu' ovvia sarebbe appunto mettere tutto in blacklist tranne quei 10 (e non la lista infinita che dici tu) programmi a cui serve internet: client di posta, browser, ping, SSH client e server e poco altro. Tutto il resto non deve avere accesso ad internet. In Android questo io lo posso fare in maniera semplice anche se non sono root, gestendo applicazione per applicazione e con la modalita' "blacklist" attiva di default; con questo, se voglio, blocco anche il traffico dei google play services. Quando usavo Windows questo tipo di setup era la norma per me. Va detto che Linux non e' come Windows, in cui la scheda di rete e' sempre in attivita' e non si sa mai dove si connette e cosa sta trasferendo; in Linux ho provato tante volte con lo sniffer e confermo che, come dici tu, a meno che non sei proprio tu a fare qualcosa, non c'e' alcun traffico di rete. Stessa cosa per l'hard disk, in Windows e' sempre li' a frullare, in Linux in confronto e' praticamente sempre fermo. Ma ribadisco, non e' che non mi fido di chi ha scritto /bin/ls e non e' che se uno vuole riproporre su linux quello che fa per altri sistemi operativi deve passare da ritardato, il punto e' che anche i dispositivi linux e in particolare i server sono vulnerabili e vengono attaccati e infettati da malware; ultimamente vanno molto di moda quelli per VMWare, perche' in un colpo solo cifrano tutte le macchine virtuali configurate. Per metterci una pezza posso andare sui report pubblicati dalle societa' di sicurezza o case antivirus, prendere la lista degli IP relativi ai server command and control degli attaccanti e metterli in blacklist sul firewall o in /etc/hosts. Un'altra cosa che posso fare e' gestire al meglio i permessi, rimuovendo l'esecuzione dalla cartella /home, /tmp, ecc. tramite opzione di montaggio noexec; posso rimuovere i permessi di scrittura da /bin, /sbin per gli utenti non root; posso usare un sistema di controllo dell'integrita' dei files quale tripwire, che verifica cartella per cartella se i files al suo interno sono stati modificati (pensiamo ad esempio agli eseguibili di /bin o /sbin); posso imporre restrizioni ai processi, per cui nel mio caso "/usr/local/bin/firefox" e "/usr/local/bin/firefox-bin" non hanno accesso per esempio al file /etc/passwd o al mio desktop, ma possono leggere e scrivere solo all'interno del mio profilo ~/.mozilla/ (questo l'ho fatto con apparmor) e poco altro, ad esempio possono accedere al file /etc/hosts; posso restringere la superficie d'attacco disabilitando quanti piu' servizi possibili per chiudere le rispettive porte aperte; posso mettere siti di phishing e malware in /etc/hosts; posso configurare applicazione per applicazione e servizio per servizio in maniera restrittiva andandomi a leggere la documentazione; ecc. ecc. Certo un firewall che blocchi il traffico per processo sarebbe una cosa molto piu' semplice... qualcosa per iptables c'e', la pagina man dice: Quote:
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200 [Debian 7.0 Wheezy] Installazione, consigli e trucchi Ultima modifica di vampirodolce1 : 01-07-2022 alle 16:37. |
||
01-07-2022, 18:47 | #10 | |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
Quote:
il punto che tutto il software è buggato anche se in buona fede, gli hacker vanno a leggersi appunto i sorgenti per creare exploit ad hoc... circola notizia di un bug che consente la privilege escalation in locale che è noto dal 2009 crediamo ancora alla favoletta che si risolvono i bug prima e meglio, tutti quanti assieme? proprio oggi mi sono accorto di un bug dell'applicazione dischi di gnome, cioè se inserisci una chiavetta senza tabella di partizione, dal menu in alto scegli formatta partizione e completi la procedura guidata con successo (secondo il programma..) non hai in realtà fatto nulla....ma non lo vede il programma che non c'è nemmeno una partizione da formattare..proprio l'abc del funzionamento logico del programma.. se invece usi le icone in basso crei prima la partizione poi la formatti ed è ok.. qui non si tratta di temere la backdoor che consente alle autorità di fare chissà cosa per questioni di sicurezza nazionale o comunicare dati statistici di utilizzo telemetria ecc. per consentire ai giornali di dire quante ore passiamo nei siti porno.. qui si tratta di impedire a prescindere di lasciare tutto aperto a 360° perchè tanto è un pc desktop che siccome è desktop lo uso solo per leggere il volantino del discount... quello che mi stupisce del mondo linux è non aver prodotto un application firewall integrato nelle distro per gestire facilmente i permessi di accesso alla rete in uscita per utente e per applicazione bloccando di default tutto quello che è ignoto ....a prescindere tutte soluzioni complesse e che possono dare risultati solo solo se ti fai un mazzo tanto tripwire.. ok però poi devi andare a vedere tu esattamente cosa chi come e perchè ha modificato certi file iptables non fa scegliere un programma si e uno no sulla stessa porta o protocollo programmi firewall e security a pagamento? solo per server e a prezzi che... lasciamo perdere la home in partizione montata noexec .. funziona ni ... su alcune distro vengono eseguiti comunque con bash nomescript non è mia intenzione aprire uno scontro tra linee di pensiero diverse,per cui chiudo qui, in conclusione mi sembra di dover prendere atto che la domanda di apertura del thread non può avere una risposta... Ultima modifica di h7_25 : 01-07-2022 alle 18:54. |
|
01-07-2022, 21:58 | #11 |
Senior Member
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1268
|
No, affatto. Qui su HWU persone esperte (io non mi metto nel mazzo) in grado di dare il loro contributo a temi come questi ci sono, solo che spesso restano silenti: occorre che il thread prenda una determinata piega perché facciano la loro comparsa. Con i miei interventi speravo proprio che questi utenti esprimessero la loro opinione. Uno di loro (vampirodolce1) lo ha già fatto, sarebbe un peccato considerare già chiusa la discussione.
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 23.3_x64 Xfce Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 10 Pro 22H2 64 bit NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded |
01-07-2022, 23:07 | #12 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
OT
rettifico la descrizione del bug su gnome dischi a dire il vero è la traduzione in italiano (??) ad essere sbagliata il comando formatta disco intende "crea tabella di partizione" ed esegue proprio quello e non fa nulla altro non formatta nulla /OT stanotte dormiremo più tranquilli forse si può avvicinarsi all'obiettivo creando un gruppo che non ha i permessi sulle interfacce di rete e assegnare i permessi del gruppo ai programmi che si vuole bloccare però mi sembra complesso e forse non funziona boh |
02-07-2022, 08:02 | #13 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 4354
|
Quindi Opensnitch e Douane non ti vanno bene?
|
02-07-2022, 10:02 | #14 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
su opensnitch ho espresso il mio pensiero poco sopra
su douane faccio una domanda rivolta a tutti: installereste un programma che dovrebbe regolamentare anche le applicazioni di sistema e non solo se dalla pagina di download vedi questo avviso? e poi magari usi il pc per fare un bonifico... Codice:
Download Warning: unfortunately the project is suffering of a kernel freeze bug that can break your machine! You can follow the bug resolution from this issue. Have a look at the Roadmap to see when this issue should be fixed! The current version is 0.8.2. douane-installer (Recommended) The Douane architecture is a puzzle, on purpose, in order to allow Douane to fit in the giant Linux ecosystem. |
02-07-2022, 13:08 | #15 | |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 4354
|
Non l'avevo visto, anche perché è stato aggiunto dopo...
Quote:
Tra gli asset ci sono anche gli hash delle build... |
|
02-07-2022, 15:03 | #16 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
installato l'ultima versione opensnitch in ambiente di test linuxmint 20.3
ha già beccato vlc che nonostante ho tolto il flag di accedere alla rete per per cercare i metadati ha comunque chiesto l'accesso appena ho avviato un filmato... Vediamo.. |
03-07-2022, 22:36 | #17 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7971
|
Purtroppo linux pecca per la grave carenza di un application firewall, tutt'oggi assente sotto qualsiasi forma anche a pagamento. Ci sono quei progetti che hai visto, in beta perenne o morti. Anni fa speravo che Comodo dopo aver fatto il porting su linux del suo antivirus facesse pure il porting del firewall, ma ancora non c'è niente.
Certe cose sono risolvibili usando SELinux o AppArmor, altre no. Per quello che devi fare te, cercando una maniera semplice, si potrebbe pensare ad un proxy che gira in locale. Tutto il traffico in uscita di default viene droppato da iptables mentre viene autorizzato solo il traffico verso il proxy su localhost (eventualmente con login\password). In questa maniera le applicazioni che non hanno impostato quel proxy non potranno accedere ad internet. Che ne pensi?
__________________
System Failure Ultima modifica di Perseverance : 03-07-2022 alle 22:39. |
04-07-2022, 15:30 | #18 |
Junior Member
Iscritto dal: Jun 2022
Messaggi: 10
|
si non è una cattiva idea, specie se ci metti login e password , ad ingegnarsi, si puo anche arrivare a delle soluzioni accettabili ,forse un pò empirico.. diciamo, il punto è che sembra che per certi versi lo sviluppo di linux sia gestito dall' "ufficio complicazione cose semplici" e da quello per cui conta solo il lato server e per il resto per i desktop basta riempirli di colori, effetti e icone
Io purtroppo dalla prima distro che ho usato (mandrake7) ho visto solo questo, da 4 o 5 desktop grafici ad oltre 30 di oggi, poi se vuoi un application firewall sotto il tuo controllo ...scopri che non esiste solo perchè i più ti ripetono come un mantra che non serve.. Un esempio, sto utilizzando anche una Fedora36 nuova nuova.. all'avvio trovi solo firewalld-cmd, la gui puoi scegliere di installarla solo dopo se vuoi, molti utenti secondo me non sapranno nemmeno di avere un firewall (ma tanto che importa, non è un server) Firewalld In ogni caso non consente di usare iptables perchè va in conflitto, mentre permette solo di configurare il traffico verso servizi che decidi di rendere disponibili tu cioè fare da server, per di più è difficilissimo impostare regole manuali con impostazioni nascoste da abilitare e trovi su tutti i profili abilitato ssh in ingresso come se fosse un "must"... ma chissesefrega, se non ho un server da amministrare in remoto... Non ho approfondito + di tanto il funzionamento del programma perchè mi sono inca**ato subito non riuscendo a capire subito se il traffico in ingresso viene comunque bloccato o no visto che da iptables -L risulta tutto "allow" Bene, ho eliminato firewalld e servizio con buona pace del programmatore e ci ho rimesso iptables scrivendo regole a mano Lo sviluppatore del software lo ha dichiarato chiaramente che al momento il suo programma non consente facilmente di scrivere regole personalizzate per gestire il traffico outgoing (questo 7 anni fa, ad oggi è ancora così ) Ho testato il firewall opensnitch e devo dire che è come me lo aspettavo.. un buon punto di partenza, alcune funzionalità non sono ancora implementate, buon programma ma a mio avviso acerbo e inaffidabile, poi è un fork di un progetto abbandonato.. questo quanto resiste? Inoltre secondo me un programma di questo tipo dovrebbe essere inserito e garantito (per autenticità, stabilità, lettura e controllo dei sorgenti, ecc.) dalle varie distro.... Ultima modifica di h7_25 : 04-07-2022 alle 15:48. |
09-08-2022, 14:12 | #19 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7971
|
Ti è mai capitato di imbatterti in Safing.io ? L'ho trovato per caso, il software sembra molto avanzato e con un'interfaccia professionale e permette di definire regole per applicazione oltre ad altre funzioni.
Se lo provi poi fammi sapere.
__________________
System Failure |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 21:59.