Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Dzisiaj robiąc prewencyjnego netstat -naplet zauważyłem, że chrome ma dziwną tendencję do dzwonienia do domu oraz do bezczelnego nasłuchiwania na porcie 5353.
Aurora net # netstat -naplet|grep plugin tcp 0 0 160.64.0.40:51146 198.252.206.25:443 ESTABLISHED 1000 145911 7101/plugins tcp 0 0 160.64.0.40:36480 104.16.112.18:443 ESTABLISHED 1000 147566 7101/plugins tcp 0 0 160.64.0.40:51140 198.252.206.25:443 ESTABLISHED 1000 147573 7101/plugins tcp 32 0 160.64.0.40:57508 104.81.221.217:443 CLOSE_WAIT 1000 147572 7101/plugins tcp 0 0 160.64.0.40:39808 151.101.1.69:443 ESTABLISHED 1000 97466 7101/plugins tcp 0 0 160.64.0.40:36482 104.16.112.18:443 ESTABLISHED 1000 147567 7101/plugins
Powyższy output wygląda podobnie przy uruchomionej przeglądarce z jedną kartą i stroną domową google. Oczywiście zdążyłem już wygooglać, że za słuchanie na 5353 odpowiedzialna jest opcja w chrome:///flags dotycząca zeroconfowych ficzerów i podjąć stosowne kroki.
Niemniej niesmak pozostał. Po którymś updacie google uzna że warto zrobić kopię mojego ~ do google drive, just in case, za co będę im kiedyś wdzięczny- przecież to dla mojego dobra. Dont't be evil my ass. Aby temu zapobiec i nie pierniczyć się co update z audytowaniem przeglądarki, chciałbym wykorzystać jakiś program, który zachowa się jak tfu tfu, Zapora systemu Windows. Zapyta mnie 'elo lisu, chrome chce połączyć się z $ADRES:$PORT, pasi ci to?'.
Wiem wiem, przecież mogę dodać cel LOG w iptables i na żywo w teminalu oglądać logi ;]
Wiem, że mogę wykorzystać cgroups, osobnego usera, chroota, gotowce typu firejail i inne metody separowania instancji przeglądarki od systemu- póki co jednak wolałbym by była spójnym komponentem mojego środowiska, a nie zabetonowanym klocem z ołowianą osłoną antyradiacyjną z wizjerem.
Podpowiem, że taką funkcjonalność widziałem też bodajże w afwall+, tylko jak wiemy w androidzie każda sraplikacja działa na własnym juzku, co upraszcza pewnie monitorowanie połączeń.
Ostatnio edytowany przez lis6502 (2017-06-25 11:41:46)
Offline
Dynamiczny FW jak w Windows?
Pierwsze słyszę, jak masz prawidłowo skonfigurowanego FW, żeby odrzucał połączenia NEW i INVALID z netu, to w ogóle nie czaję, co za problem, że coś tam słucha na porcie.
Co do przeglądarki od Googla, to wiele w samym programie nie wymyślisz, ale zawsze jest jeszcze Chromium...
Zdaje się, że samo powiadamianie da się załatwić przez Apparmor-notify, ale jeszcze nie zauważyłem, żeby do AA trafiła opcja filtrowania gniazd sieciowych, poza cudnym opisem w dokumentacji (chyba Morfik kiedyś pisał, że udało mu się to odpalić, ale nie pamiętam szczegółów).
EDIT:
**************************************************************** ### Program: /opt/google/chrome-unstable/chrome ### user: pacjent ### ................................................................ 15:debug:/ 14:rdma:/ 13:pids:/ 12:hugetlb:/ 11:net_prio:/ 10:perf_event:/ 9:net_cls:/users/chrome 8:freezer:/ 7:devices:/ 6:memory:/users/chrome 5:blkio:/users/chrome 4:cpuacct:/ 3:cpu:/users/chrome 2:cpuset:/ 1:name=openrc:/ ................................................................ Apparmor: /opt/google/*/chrome (enforce) ................................................................ ................................................................ RAM: 124.0 KiB + 20.0 KiB = 144.0 KiB chrome-sandbox 530.9 MiB + 109.9 MiB = 640.7 MiB chrome (9) ****************************************************************
Jak widać wykonalne (cgroup, netfilter-cgroup i AA), ale gimnastyki z tym jest sporo.
Ostatnio edytowany przez Jacekalex (2017-06-27 01:12:43)
Offline
Pierwsze słyszę, jak masz prawidłowo skonfigurowanego FW, żeby odrzucał połączenia NEW i INVALID z netu, to w ogóle nie czaję, co za problem, ze coś tam słucha na porcie.
To nie jest problem, jestem za firewallem więc nie dodzwonisz się do mnie bezpośrednio ani Ty, ani nikt inny.
Co innego połączenia wychodzące, które nawiązuje przeglądarka DO świata. Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.
Nie ja je nawiązywałem i chciałbym po prostu dostać powiadomienie gdy takie połączenie zostanie nawiązane z możliwością zdecydowania "dodaj do wyjątków" albo "DROPUJ".
Chrome, chromium, firefox. Nie widzę różnicy szczerze mówiąc, bo co za różnica jaki silnik renderujący nawiązuje samodzielnie połączenia do świata w moim imieniu i wysyła bug wie co?
Offline
W apparmor żadne z tych obostrzeń co się odnoszą do sieci nie działało mi jak się nimi bawiłem kiedyś. Część dokumentacji ma info o kontroli zasobów sieciowych ale chyba za wcześnie jeszcze na to. xD
Co do samego uniemożliwienia wysyłania plików z katalogu /home/ , to profil na apparmor i tak znajduje idealne zastosowanie.
lis6502 napisał(-a):
Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.
Nie ja je nawiązywałem i chciałbym po prostu dostać powiadomienie gdy takie połączenie zostanie nawiązane z możliwością zdecydowania "dodaj do wyjątków" albo "DROPUJ".
Chrome, chromium, firefox. Nie widzę różnicy szczerze mówiąc, bo co za różnica jaki silnik renderujący nawiązuje samodzielnie połączenia do świata w moim imieniu i wysyła bug wie co?
Może to zwykły "check for upade" czy inny wbudowany mechanizm, który coś sprawdza przy każdorazowym włączeniu przeglądarki? xD
Offline
Może to zwykły "check for upade"
a może to zwykły "upload my home porn to could and publish on jewtoobe"?
Czyli pozostaje mi grzebać w internetach, followoać logi z iptables.
Offline
lis6502 napisał(-a):
Niepokoi mnie to, że mimo iż wyświetlam about:blank to mam aktywne 4 połączenia ode mnie do jakichś serwerów.
Też mnie to drażni. Najpierw myślałem, to dodatki lub aktualizacja to robią, ale wyłączenie wszystkiego nic nie dało. Jeśli poczekamy kilka minut rozłączy wszystko, ale czekając dalej znowu gdzieś tam połączy i rozłączy - wszystko oczywiście na stronie 'blank' i nie wykonując absolutnie żadnej aktywności.
Dodam, że takie 'autopołączenia' zaobserwowałem dopiero na Jessie. Na Wheezy i wstecz nie było takich zachowań - no chyba, że mi conky tego wcześniej nie wyświetlał.
Aha, no i zauważyłem to tylko na Chrome i FF. Takie przeglądarki jak np. Lynx nie mają takiej ' naleciałości' - osobiście używam do konfiguracji lokalnego sprzętu (tak na wszelki wypadek :) )
Ostatnio edytowany przez Miras (2017-06-25 13:13:41)
Offline
I co jeszcze, może odcisk palca. Przeglądarka ma być klientem www, per user. I żadne pomocniki od googla, integracje z fejzbukiem, gmailem są niepotrzebne.
Chyba zmienę temat na "szukam koszernego klienta www z obsługa ssl XD"
Offline
Wiem, że mogę wykorzystać cgroups, osobnego usera, chroota, gotowce typu firejail i inne metody separowania instancji przeglądarki od systemu- póki co jednak wolałbym by była spójnym komponentem mojego środowiska, a nie zabetonowanym klocem z ołowianą osłoną antyradiacyjną z wizjerem.
Ale w czym widzisz problem?
Przecież to działa zupełnie bezobsługowo i niezauważalnie dla użytkownika.
Zwykły start programu:
$ chromium Redirecting symlink to /usr/bin/chromium Reading profile /etc/firejail/chromium.profile Reading profile /etc/firejail/disable-common.inc Reading profile /etc/firejail/disable-programs.inc Reading profile /etc/firejail/whitelist-common.inc Parent pid 17977, child pid 17978 Child process initialized
man firejail napisał(-a):
--netfilter=filename
Enable the network filter specified by filename in the new net‐
work namespace. The filter file format is the format of ipta‐
bles-save and iptable-restore commands. New network namespaces
are created using --net option. If a new network namespaces is
not created, --netfilter option does nothing.
A to tylko jedno z wielu dostępnych narzędzi.
Offline
Po zablokowaniu adresu łączy z innym, następnie z innej puli, taka zabawa w kotka i myszkę.
Wiem - mam sposób - wyciągnę RJ-ta z gniazda i niczego nie będzie :p
Offline
lis6502 napisał(-a):
chciałbym wykorzystać jakiś program, który zachowa się jak tfu tfu, Zapora systemu Windows. Zapyta mnie 'elo lisu, chrome chce połączyć się z $ADRES:$PORT, pasi ci to?'.
Wiem wiem, przecież mogę dodać cel LOG w iptables i na żywo w teminalu oglądać logi ;]
Może proste GUI do firewalla w rodzaju Firestarter?
Offline
Pousuwałem kilka adresów "ma pałę" w FF about:config i ilość połączeń zeszła z 6 do 3. Jutro się pobawię z głową przy tym - dziś już dobranoc.
Offline
lis6502 napisał(-a):
I co jeszcze, może odcisk palca. Przeglądarka ma być klientem www, per user. I żadne pomocniki od googla, integracje z fejzbukiem, gmailem są niepotrzebne.
Chyba zmienę temat na "szukam koszernego klienta www z obsługa ssl XD"
E tam, po prostu wszystko ma swój cel i może nie działać prawidłowo bez tego. Jeśli chrome łączy się z tymi serwerami, to w jakimś konkretnym celu. Zamiast gdybać i przewidywać przyszłość, lepiej może wbić na jakąś listę mailingową do gógla i po prostu zwyczajnie się ich zapytać po co chrome się z tymi adresami łączy. Jestem zdania, że ci odpowiedzą. xD
Offline