Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-06-25 11:38:12

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Interaktywny firewall

Dzisiaj robiąc prewencyjnego netstat -naplet zauważyłem, że chrome ma dziwną tendencję do dzwonienia do domu oraz do bezczelnego nasłuchiwania na porcie 5353.

Kod:

Aurora net # netstat -naplet|grep plugin
tcp        0      0 160.64.0.40:51146       198.252.206.25:443      ESTABLISHED 1000       145911     7101/plugins        
tcp        0      0 160.64.0.40:36480       104.16.112.18:443       ESTABLISHED 1000       147566     7101/plugins        
tcp        0      0 160.64.0.40:51140       198.252.206.25:443      ESTABLISHED 1000       147573     7101/plugins        
tcp       32      0 160.64.0.40:57508       104.81.221.217:443      CLOSE_WAIT  1000       147572     7101/plugins        
tcp        0      0 160.64.0.40:39808       151.101.1.69:443        ESTABLISHED 1000       97466      7101/plugins        
tcp        0      0 160.64.0.40:36482       104.16.112.18:443       ESTABLISHED 1000       147567     7101/plugins

Powyższy output wygląda podobnie przy uruchomionej przeglądarce z jedną kartą i stroną domową google. Oczywiście zdążyłem już wygooglać, że za słuchanie na 5353 odpowiedzialna jest opcja w chrome:///flags dotycząca zeroconfowych ficzerów i podjąć stosowne kroki.
Niemniej niesmak pozostał. Po którymś updacie google uzna że warto zrobić kopię mojego ~ do google drive, just in case, za co będę im kiedyś wdzięczny- przecież to dla mojego dobra. Dont't be evil my ass. Aby temu zapobiec i nie pierniczyć się co update z audytowaniem przeglądarki, chciałbym wykorzystać jakiś program, który zachowa się jak tfu tfu, Zapora systemu Windows. Zapyta mnie 'elo lisu, chrome chce połączyć się z $ADRES:$PORT, pasi ci to?'.
Wiem wiem, przecież mogę dodać cel LOG w iptables i na żywo w teminalu oglądać logi ;]
Wiem, że mogę wykorzystać cgroups, osobnego usera, chroota, gotowce typu firejail i inne metody separowania instancji przeglądarki od systemu- póki co jednak wolałbym by była spójnym komponentem mojego środowiska, a nie zabetonowanym klocem z ołowianą osłoną antyradiacyjną z wizjerem.
Podpowiem, że taką funkcjonalność widziałem też bodajże w afwall+, tylko jak wiemy w androidzie każda sraplikacja działa na własnym juzku, co upraszcza pewnie monitorowanie połączeń.

Ostatnio edytowany przez lis6502 (2017-06-25 11:41:46)

Offline

 

#2  2017-06-25 12:00:19

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Interaktywny firewall

Dynamiczny FW jak w Windows?

Pierwsze słyszę, jak masz prawidłowo  skonfigurowanego FW, żeby odrzucał połączenia NEW i INVALID z netu, to w ogóle nie czaję, co za problem, że coś tam słucha na porcie.

Co do przeglądarki od Googla, to wiele w samym programie nie wymyślisz, ale zawsze jest jeszcze Chromium...

Zdaje się, że samo powiadamianie da się załatwić przez Apparmor-notify, ale jeszcze nie zauważyłem, żeby do  AA trafiła opcja filtrowania gniazd sieciowych, poza cudnym opisem w dokumentacji (chyba Morfik kiedyś pisał, że udało mu się to odpalić, ale nie pamiętam szczegółów).

EDIT:

Kod:

****************************************************************
###  Program:  /opt/google/chrome-unstable/chrome   ###  user: pacjent  ###
................................................................
15:debug:/
14:rdma:/
13:pids:/
12:hugetlb:/
11:net_prio:/
10:perf_event:/
9:net_cls:/users/chrome
8:freezer:/
7:devices:/
6:memory:/users/chrome
5:blkio:/users/chrome
4:cpuacct:/
3:cpu:/users/chrome
2:cpuset:/
1:name=openrc:/
................................................................

Apparmor: /opt/google/*/chrome (enforce) 
................................................................

................................................................

RAM: 124.0 KiB +  20.0 KiB = 144.0 KiB    chrome-sandbox
530.9 MiB + 109.9 MiB = 640.7 MiB    chrome (9)

****************************************************************

Jak widać wykonalne (cgroup, netfilter-cgroup  i AA), ale gimnastyki z tym jest sporo.

Ostatnio edytowany przez Jacekalex (2017-06-27 01:12:43)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2017-06-25 12:40:21

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Interaktywny firewall

Pierwsze słyszę, jak masz prawidłowo  skonfigurowanego FW, żeby odrzucał połączenia NEW i INVALID z netu, to w ogóle nie czaję, co za problem, ze coś tam słucha na porcie.

To nie jest problem, jestem za firewallem więc nie dodzwonisz się do mnie bezpośrednio ani Ty, ani nikt inny.
Co innego połączenia wychodzące, które nawiązuje przeglądarka DO świata. Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.
Nie ja je nawiązywałem i chciałbym po prostu dostać powiadomienie gdy takie połączenie zostanie nawiązane z możliwością zdecydowania "dodaj do wyjątków" albo "DROPUJ".

Chrome, chromium, firefox. Nie widzę różnicy szczerze mówiąc, bo co za różnica jaki silnik renderujący nawiązuje samodzielnie połączenia do świata w moim imieniu i wysyła bug wie co?

Offline

 

#4  2017-06-25 12:57:47

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Interaktywny firewall

W apparmor żadne z tych obostrzeń co się odnoszą do sieci nie działało mi jak się nimi bawiłem kiedyś. Część dokumentacji ma info o kontroli zasobów sieciowych ale chyba za wcześnie jeszcze na to. xD

Co do samego uniemożliwienia wysyłania plików z katalogu /home/ , to profil na apparmor i tak znajduje idealne zastosowanie.


lis6502 napisał(-a):

Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.
Nie ja je nawiązywałem i chciałbym po prostu dostać powiadomienie gdy takie połączenie zostanie nawiązane z możliwością zdecydowania "dodaj do wyjątków" albo "DROPUJ".

Chrome, chromium, firefox. Nie widzę różnicy szczerze mówiąc, bo co za różnica jaki silnik renderujący nawiązuje samodzielnie połączenia do świata w moim imieniu i wysyła bug wie co?

Może to zwykły "check for upade" czy inny wbudowany mechanizm, który coś sprawdza przy każdorazowym włączeniu przeglądarki? xD

Offline

 

#5  2017-06-25 13:03:00

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Interaktywny firewall

Może to zwykły "check for upade"

a może to zwykły "upload my home porn to could and publish on jewtoobe"?
Czyli pozostaje mi grzebać w internetach, followoać logi z iptables.

Offline

 

#6  2017-06-25 13:05:26

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Interaktywny firewall

Uwierz mi, nikogo nie interesuje twoja lokalna kolekcja porno, nawet tych filmików z twoim udziałem. xD

Ostatnio edytowany przez morfik (2017-06-25 13:05:35)

Offline

 

#7  2017-06-25 13:08:40

  Miras - Użytkownik

Miras
Użytkownik
Skąd: Siewierz
Zarejestrowany: 2013-08-06

Re: Interaktywny firewall

lis6502 napisał(-a):

Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.

Też mnie to drażni. Najpierw myślałem, to dodatki lub aktualizacja to robią, ale wyłączenie wszystkiego nic nie dało. Jeśli poczekamy kilka minut rozłączy wszystko, ale czekając dalej znowu gdzieś tam połączy i rozłączy - wszystko oczywiście na stronie 'blank' i nie wykonując absolutnie żadnej aktywności.

Dodam, że takie 'autopołączenia' zaobserwowałem dopiero na Jessie. Na Wheezy i wstecz nie było takich zachowań - no chyba, że mi conky tego wcześniej nie wyświetlał.

Aha, no i zauważyłem to tylko na Chrome i FF. Takie przeglądarki jak np. Lynx nie mają takiej ' naleciałości' - osobiście używam do konfiguracji lokalnego sprzętu (tak na wszelki wypadek :) )

Ostatnio edytowany przez Miras (2017-06-25 13:13:41)

Offline

 

#8  2017-06-25 13:15:30

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Interaktywny firewall

A profile macie dodane do chroma?

Offline

 

#9  2017-06-25 14:33:03

  lis6502 - Łowca lamerów

lis6502
Łowca lamerów
Skąd: Stalinogród
Zarejestrowany: 2008-12-04

Re: Interaktywny firewall

I co jeszcze, może odcisk palca. Przeglądarka ma być klientem www, per user. I żadne pomocniki od googla, integracje z fejzbukiem, gmailem są niepotrzebne.
Chyba zmienę temat na "szukam koszernego klienta www z obsługa ssl XD"

Offline

 

#10  2017-06-25 15:00:12

  yossarian - Szczawiożerca

yossarian
Szczawiożerca
Skąd: Shangri-La
Zarejestrowany: 2011-04-25

Re: Interaktywny firewall

Wiem, że mogę wykorzystać cgroups, osobnego usera, chroota, gotowce typu firejail i inne metody separowania instancji przeglądarki od systemu- póki co jednak wolałbym by była spójnym komponentem mojego środowiska, a nie zabetonowanym klocem z ołowianą osłoną antyradiacyjną z wizjerem.

Ale w czym widzisz problem?
Przecież to działa zupełnie bezobsługowo i niezauważalnie dla użytkownika.
Zwykły start programu:

Kod:

$ chromium
Redirecting symlink to /usr/bin/chromium
Reading profile /etc/firejail/chromium.profile
Reading profile /etc/firejail/disable-common.inc
Reading profile /etc/firejail/disable-programs.inc
Reading profile /etc/firejail/whitelist-common.inc
Parent pid 17977, child pid 17978
Child process initialized

man firejail napisał(-a):

--netfilter=filename
              Enable  the network filter specified by filename in the new net‐
              work namespace. The filter file format is the  format  of  ipta‐
              bles-save  and iptable-restore commands.  New network namespaces
              are created using --net option. If a new network  namespaces  is
              not created, --netfilter option does nothing.

A to tylko jedno z wielu dostępnych narzędzi.

Offline

 

#11  2017-06-25 21:10:05

  Miras - Użytkownik

Miras
Użytkownik
Skąd: Siewierz
Zarejestrowany: 2013-08-06

Re: Interaktywny firewall

Po zablokowaniu adresu łączy z innym, następnie z innej puli, taka zabawa w kotka i myszkę.
Wiem - mam sposób - wyciągnę RJ-ta z gniazda i niczego nie będzie :p

Offline

 

#12  2017-06-25 22:10:13

  seler - Użytkownik

seler
Użytkownik
Zarejestrowany: 2012-05-15

Re: Interaktywny firewall

lis6502 napisał(-a):

chciałbym wykorzystać jakiś program, który zachowa się jak tfu tfu, Zapora systemu Windows. Zapyta mnie 'elo lisu, chrome chce połączyć się z $ADRES:$PORT, pasi ci to?'.
Wiem wiem, przecież mogę dodać cel LOG w iptables i na żywo w teminalu oglądać logi ;]

Może proste GUI do firewalla w rodzaju Firestarter?
http://www.techotopia.com/images/9/92/Ubuntu_linux_firestarter_events.jpg


a to feler westchnął seler

Offline

 

#13  2017-06-25 23:21:46

  Miras - Użytkownik

Miras
Użytkownik
Skąd: Siewierz
Zarejestrowany: 2013-08-06

Re: Interaktywny firewall

Pousuwałem kilka adresów "ma pałę" w FF about:config i ilość połączeń zeszła z 6 do 3. Jutro się pobawię z głową przy tym - dziś już dobranoc.

Offline

 

#14  2017-06-26 05:59:48

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Interaktywny firewall

lis6502 napisał(-a):

I co jeszcze, może odcisk palca. Przeglądarka ma być klientem www, per user. I żadne pomocniki od googla, integracje z fejzbukiem, gmailem są niepotrzebne.
Chyba zmienę temat na "szukam koszernego klienta www z obsługa ssl XD"

E tam, po prostu wszystko ma swój cel i może nie działać prawidłowo bez tego. Jeśli chrome łączy się z tymi serwerami, to w jakimś konkretnym celu. Zamiast gdybać i przewidywać przyszłość, lepiej może wbić na jakąś listę mailingową do gógla i po prostu zwyczajnie się ich zapytać po co chrome się z tymi adresami łączy. Jestem zdania, że ci odpowiedzą. xD

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)