Linux на программный брандмауэр похож на Windows и Mac аналоги

Question

1. Можно ли создать брандмауэр с графическим интерфейсом, который работает как аналог Windows и Mac? На основе программы. Всплывающее окно уведомлений, когда определенная программа хочет отправить \ recv данные из сети.
2. Если нет, то почему? Чего не хватает ядру Linux, чтобы позволить существование таких программ?
3. Если да, то почему нет такой программы?

P.S. Это вопрос программирования, а не пользовательский.

Answer 1

Возможно, ограничений нет, и существует хотя бы одно такое приложение.

Хотелось бы уточнить пару моментов.

Если я правильно понял эту статью , упомянутые здесь брандмауэры и iptables, под которым этот вопрос отмечен, - это фильтры пакетов, которые принимают и отбрасывают пакеты, в зависимости от того, с каких IP-адресов и портов они пришли / отправили ,

То, что вы описываете, больше похоже на обязательный контроль доступа для меня. Для этого в Linux есть несколько утилит - selinux, apparmor, tomoyo.

Если бы мне пришлось реализовать графическую утилиту, которую вы описали, я бы выбрал, например, AppArmor, который поддерживает белые списки, и в некоторой степени , динамическое профилирование, и попытался создать для него графический интерфейс. .

В OpenSUSE YaST имеется графический интерфейс для настройки и обучения устройств, но он специфичен для дистрибутива.

Таким образом, пользователи и администраторы Linux имеют несколько способов управления сетевым (и файловым) доступом для каждого приложения.

Почему графических интерфейсов для MAC так мало, другой вопрос. Вероятно, это связано с тем, что пользователи настольных систем Linux склонны доверять программному обеспечению, которое они устанавливают из репозиториев, и у них меньше причин контролировать их таким образом (если приложение распространяется свободно, у него меньше причин звонить домой, и пакеты обычно проверяются до того, как они попадают в репозитории), в то время как администраторы и опытные пользователи в порядке с командной строкой.

Поскольку настольный Linux становится все более популярным, и люди устанавливают больше программного обеспечения из AUR или PPA или даже из gnome-look.org, где пакеты и сценарии не проверяются так точно (если вообще) спрос на такой тип программного обеспечения (пользовательский дружественный, простой в настройке MAC) может расти.

Answer 2

1. Да, это возможно.Вам нужно будет настроить правила брандмауэра для маршрутизации трафика через демон пространства пользователя, это потребует немало работы.
2. N / A
3. Потому что они довольно бессмысленны - если пользовательпонимает, какие программы он должен блокировать из сетевого доступа, он мог бы также использовать один из нескольких существующих дружественных интерфейсов netfilter / iptables для настройки этого.

Answer 3

Чтобы ответить на ваш 3-й пункт. Существует такая программа, которая предоставляет всплывающие окна zenity, она называется Leopard Flower: http://sourceforge.net/projects/leopardflower

Answer 4

Я дошел до этого вопроса, так как сейчас пытаюсь перейти с Mac на Linux. На моем Mac и Linux-компьютере я запускаю множество приложений. Некоторым из них я полностью доверяю. Но другим я не полностью доверяю. Если они установлены из источника, который проверяет их или нет, я должен доверять им, потому что кто-то еще сделал? Нет, я достаточно взрослая, чтобы выбрать себя.

В те времена, когда конфиденциальность становится все сложнее достигать, и существуют Распределения, которые показывают, что мы не должны доверять всем, мне нравится контролировать то, что делают мои приложения. Этот элемент управления может не заканчиваться при подключении к сети / Интернету, но это то, что этот вопрос (и мой вопрос.

Я использовал LittleSnitch для MacOSX в последние годы, и я был удивлен, как часто приложение любит выходить в интернет, даже не замечая меня. Чтобы проверить обновления, позвонить домой, ...

Теперь, когда я хотел бы перейти на Linux, я попытался найти то же самое, что я хочу контролировать то, что покидает мой компьютер.

Во время моего исследования я нашел много вопросов по этой теме . Этот, на мой взгляд, лучше всего описывает, о чем идет речь. Вопрос для меня такой же. Я хочу знать, когда приложение пытается отправить или получить информацию по сети / Интернету.

Такие решения, как SELinux и AppAmor, могут разрешать или запрещать такие подключения. Их настройка требует много ручного конфигурирования и не сообщает, когда новое приложение пытается подключиться куда-либо. Вы должны знать, какое приложение вы хотите запретить доступ к сети.

Существование Douane ( Как управлять доступом в Интернет для каждой программы? и DouaneApp.com ) показывают, что существует необходимость в простом решении, Существует даже Дистрибутив, в который, похоже, включена такая функция. Но я не уверен, что использует Subgraph OS ( subgraph.com ), но они заявляют что-то вроде этого на своем веб-сайте. Он выглядит так же, как и первоначальный вопрос: «Брандмауэр приложения Subgraph OS позволяет пользователю контролировать, какие приложения могут инициировать исходящие соединения . Когда неизвестное приложение пытается установить исходящее соединение, пользователь будет будет предложено разрешить или запретить соединение на временной или постоянной основе. Это поможет предотвратить звонки вредоносных приложений домой. "

Как мне кажется, на данный момент есть только два варианта . Одним из них является Компиляция Douane вручную. Mysqlf или два переключают распространение на Subgraph OS . Как говорится в одном из ответов, все возможно - поэтому я удивлен, что другого решения нет. Или есть?

Answer 5

1. Да.Все возможно
2. -
3. Существуют настоящие антивирусы для Linux, поэтому могут быть и брандмауэры с графическим интерфейсом.Но как пользователь Linux я могу сказать, что такой брандмауэр не нужен.