Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2018-10-13 14:18:32

  hubot - Użytkownik

hubot
Użytkownik
Zarejestrowany: 2017-04-13

Sandboxowanie programów

Chciałbym ograniczyć dostęp programów na serwerze do głównego systemu plików i umożliwić dostęp do internetu tylko tym programom, które należą do grupy net. Ktoś ma pomysł jak to zrobić?

Offline

 

#2  2018-10-13 15:06:33

  morfik - Cenzor wirtualnego świata

morfik
Cenzor wirtualnego świata
Skąd: ze WSI
Zarejestrowany: 2011-09-15
Serwis

Re: Sandboxowanie programów

Pierwsza część to apparmor. A druga część to apparmor z łatami sieciowymi -- to chyba tak najprościej. Można by też pewnie na iptables filtrować pakiety w oparciu o GID ale to bez sensu, bo cała masa aplikacji systemowych potrzebuje do działania sieci. np. serwer dhcp, ntp, itd, sporo aplikacji operuje na localhost, a bez tego to ci się system popsuje. xD

Tu masz przykład po niecałym 1 dniu pracy:

Kod:

 pkts bytes target     prot opt in     out     source               destination
130K 7804K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0

Ostatnio edytowany przez morfik (2018-10-13 15:08:25)

Offline

 

#3  2018-10-13 15:21:33

  hubot - Użytkownik

hubot
Użytkownik
Zarejestrowany: 2017-04-13

Re: Sandboxowanie programów

Ruch na localhoście powinien być w pełni dozwolony. Chodzi mi głównie o ograniczenie ruchu wychodzącego do publicznego internetu. Załóżmy, że mam postawionego uwsgi a za nim jakieś odwrotne proxy np. nginx. uwsgi powinno być zsandboxowane i nasłuchiwać jedynie na 127.0.0.1, nginx także powinien działać na ograniczonych uprawnieniach i nasłuchiwać na 127.0.0.1. Wszystkie żądania sieciowe powinny ostatecznie wychodzić przez Tora do publicznego Internetu, a stronka postawiona na serwerze powinna być dostępna przez adres z końcówką onion.

Znalazłem na Gentoo Wiki całkiem niezlą instrukcję: https://wiki.gentoo.org/wiki/Tor.

Czy lepiej manualnie proxyfikować każdą aplikację i wyłączyć ruch niestorowany czy lepiej walnąć TransProxy?

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)