Ochrona PC z Linuksem Mintem

[morfik]

0

Nie należy przeceniać znaczenia firewalla w Linuksie ale błędem jest jego niedocenianie. Zapewne nie instalujecie wielu aplikacji spoza repo i nie przelewacie w internecie dużych sum pieniędzy

Tu nie chodzi o instalowanie spoza repo, tylko jeśli już jakiś syf się do systemu dostanie, to nic go nie powstrzyma przed komunikacją ze światem i może podłączyć się on ze swoim centrum dowodzenia. No chyba, że niektórzy mają procesowy FW (tak jak ja), gdzie każda aplikacja wymaga wyraźnego zezwolenia na komunikację ze światem. Poniżej przykład takiej reguły dla aplikacji Thunderbird:

Kod:

add rule inet filter check-cgroup-user meta cgroup { 5 } tcp dport { 443, 80, 587, 465, 995, 993 } counter accept comment "thunderbird"

Bez tej reguły, TB nie byłby w stanie się połączyć z siecią. A tak jego procesy są oznaczane markiem 5 przez cgroups i jeśli taki proces z markiem 5 nadaje pakiety (wychodzące) na te widoczne wyżej porty, wtedy taki pakiet może opuścić moją maszynę.

Jak coś instaluje i to coś komunikuje się z siecią po uruchomieniu, to w logu widzę blokowanie pakietów i żadna komunikacja sieciowa tej aplikacji nie będzie możliwa do momentu ręcznego zezwolenia jej na to. Wtedy jak najbardziej FW spełnia swoje zadanie, bo jakby to była nieuprawniona aplikacja, to syf by został zablokowany, a ja o tym fakcie bym wiedział. Niemniej jednak, w ogromnej większość maszyn OUTPUT nie jest w żaden sposób filtrowany. No i nie ma co się dziwić, bo to trochę skomplikowane. Wystarczy rzucić okiem na poniższą fotkę, która obrazuje jedynie mały wycinek mojego FW:



Wszystko co ma cgroup numerek odnosi się do jakiegoś procesu w systemie. Przeciętnego człowieka już dawno by z takim FW szlag trafił.

Jeśli chodzi o Androida, to w wersji 12 ma zaporę sieciową, a do tej pory w uprawnieniach można wyłączyć dostęp aplikacji do internetu. Zresztą ten system Google nie najlepszym przykładem dla rzetelnej ochrony.

Nie wiem jak ten FW w A12 wygląda, bo mam jedynie A11 ale tutaj FW spełnia głównie dwie role. Jedną z nich jest quota na net pakietowy (limit netu i blokowanie dostępu do internetu po przekroczeniu tego limitu), i drugi (tak jak piszesz) blokowanie dostępu do internetu konkretnym appkom. O ile limit danych jest ustawiany w iptables, to blokowanie appek już nie i do końca nie wiem jak blokowanie netu w appkach działa (chodzi o blokowanie w ich opcjach wifi data, mobile data, i ewentualnie background network access). Nie jestem pewien czy tym sposobem też da radę blokować systemowe aplikacje. Niemniej jednak, wciąż polityka w INPUT jest ustawiona na ACCEPT i telefon odbiera i przetważa wszystkie pakiety, które do niego trafią i nic z tego powodu się zbytnio nie dzieje, bo Android (jak się popatrzy na uruchomione usługi) nie ma wystawionych żadnych usług, które byłyby w stanie odebrać pakiet z sieci (przynajmniej jeśli chodzi o AOSP). I taki stan rzeczy nie jest przypadkiem.