Forum Debian Users Gang

hubot · 2018-10-13 14:18:32

Chciałbym ograniczyć dostęp programów na serwerze do głównego systemu plików i umożliwić dostęp do internetu tylko tym programom, które należą do grupy net. Ktoś ma pomysł jak to zrobić?

morfik · 2018-10-13 15:06:33

Pierwsza część to apparmor. A druga część to apparmor z łatami sieciowymi -- to chyba tak najprościej. Można by też pewnie na iptables filtrować pakiety w oparciu o GID ale to bez sensu, bo cała masa aplikacji systemowych potrzebuje do działania sieci. np. serwer dhcp, ntp, itd, sporo aplikacji operuje na localhost, a bez tego to ci się system popsuje. xD

Tu masz przykład po niecałym 1 dniu pracy:

Kod:

 pkts bytes target     prot opt in     out     source               destination
130K 7804K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Ostatnio edytowany przez morfik (2018-10-13 15:08:25)

hubot · 2018-10-13 15:21:33

Ruch na localhoście powinien być w pełni dozwolony. Chodzi mi głównie o ograniczenie ruchu wychodzącego do publicznego internetu. Załóżmy, że mam postawionego uwsgi a za nim jakieś odwrotne proxy np. nginx. uwsgi powinno być zsandboxowane i nasłuchiwać jedynie na 127.0.0.1, nginx także powinien działać na ograniczonych uprawnieniach i nasłuchiwać na 127.0.0.1. Wszystkie żądania sieciowe powinny ostatecznie wychodzić przez Tora do publicznego Internetu, a stronka postawiona na serwerze powinna być dostępna przez adres z końcówką onion.

Znalazłem na Gentoo Wiki całkiem niezlą instrukcję: https://wiki.gentoo.org/wiki/Tor.

Czy lepiej manualnie proxyfikować każdą aplikację i wyłączyć ruch niestorowany czy lepiej walnąć TransProxy?

Forum Debian Users Gang

Ogłoszenie

#1 2018-10-13 14:18:32

hubot - Użytkownik

Sandboxowanie programów

#2 2018-10-13 15:06:33

morfik - Cenzor wirtualnego świata

Re: Sandboxowanie programów

Kod:

#3 2018-10-13 15:21:33

hubot - Użytkownik

Re: Sandboxowanie programów

Stopka forum