防火墙通常用于阻止来自外部世界的恶意“数据包”进入。但如今我们大多使用路由器,路由器可以缓解许多此类危险。我们面临的危险大多来自内部。俗话说就是特洛伊木马。
在 Windows 世界中,有很多应用程序防火墙,而 OSX 有一个名为“Little Snitch”的简洁实用程序,它可以确保应用程序正常运行,不会请求超出其范围的数据。甚至我的越狱 iPhone 也有一个应用程序可以阻止应用程序访问超出其范围的网站。它们“推送”到 scorecard.com 等网站和各种苹果服务器的数据量令人惊讶。我禁用这些,应用程序仍然可以运行,所以我知道这是没有必要的。
在 Linux 世界中,这种做法似乎很少见。你可以用iptablesperl 中的一些其他脚本来拼凑它,以非常笨拙的方式获得结果。
以这篇当人们问到这样的问题时经常引用的帖子为例。
它没有回答这个问题。
他们谈论防火墙完全切断端口,但这并不是大多数人想要的。大多数人只希望应用程序 X(应该是本地应用程序)在不需要与网络聊天时不会出去与网络聊天。或者访问雅虎天气的程序会访问与其访问天气的工作无关的其他五个网站。或者,我 iPhone 上的一个银行应用程序会访问银行以外的 webtrends 网站。当然,这与 Ubuntu 无关,但这是应用程序行为不当的一个例子。
这篇文章中提到的另一个应用程序是 Leopard Flower,它已经一年没有更新了,我不想让它在即将发布的 Ubuntu 版本中继续运行。
与此领域相关的所有其他帖子都不断为完全切断应用程序访问权限的应用程序提供建议,但没有提供应用程序 X 想要访问 Web Y 的简单“小告密”想法,允许或拒绝访问。没有复杂的 iptable 规则,没有完全切断端口。
我是否已经仔细查看过了,还是 Ubuntu 根本没有“应用程序防火墙”?
答案1
应用装甲
AppArmor 是基于名称的访问控制的 Linux 安全模块实现。AppArmor 将各个程序限制在一组列出的文件和 posix 1003.1e 草案功能中。
下面的链接。
答案2
SE Linux 是 Linux 应用级防火墙的一个例子,但由于其非常完善,因此很难实现。
答案3
我不知道你为什么觉得 apparmor 这么糟糕。当然,它需要阅读一些手册页。但除此之外,我发现它很容易使用。
我以前使用过个人(即应用程序)防火墙,当时我还在使用 Windows(在工作)。除了缺少 GUI 之外,我发现 apparmor 没有任何缺点。然而,它反过来提供了额外的安全功能 - 您无法使用 Windows 个人防火墙阻止只会消耗资源的程序发起的 DoS 攻击,而使用 apparmor 可以做到这一点。
此外,它具有良好的诊断和管理工具 - 查找 aa-unconfined 和所有其他 aa-* 命令(您需要先安装 apparmor-utils)。
您会发现,即使使用安装默认 Ubuntu 系统时获得的最低配置,您仍然受到很好的保护。这与 setuid 机制和 Linux 上需要特权的几个低级操作有很大关系 - 大多数应用程序都不会直接访问网络。
除此之外,请查阅 Tomoyo。它还没有 apparmor 或 SELinux 那么成熟,但我认为值得一试。
答案4
我可以建议你看看我的应用程序吗http://douaneapp.com/。
它是一个应用程序防火墙,限制每个应用程序的网络访问。欢迎给我发送评论和反馈。