opensnitch — фаєрвол для аплікацій

[Володимир Лісівка]

opensnitch — це монітор та блокувальник зʼєднань, який запобігає витокам даних користувача. Він моніторить зʼєднання, які створюються програмами, та може блокувати небажані зʼєднання. Це аналог ZoneAlarm, популярного фаєрвола для Windows. Він дозволяє детектувати та блокувати зʼєднання шкідливого ПЗ, яке працює на рівні користувача.

Проєкт: https://github.com/evilsocket/opensnitch
Приклад: https://github.com/evilsocket/opensnitch/discussions/1100

[BeSiDa]

Це більше віндовз-стиль. У юніксах то окремі дії ("фловтоп" показує наявні з'єднання та вказує назву і під програми, а файервол лише блокує та змінює).
Хоча... все насправді робить кернел у еБПФ (віртуальна машина, що виконує байт-код програми, які можна компілювати з інших мов програмування, та вже вони ті всі пакети (та інше) перевіряють, блокують, змінюють, роутять).
Хоча ... коли тепер майже все у зашифрованих хттп (а не окремо кожен протокол), та ще й до хмари (а не точного сервера) ідея такого вибіркового блокування дещо обмежена.

[Володимир Лісівка]

Це захист від витоків інформації, коли програми починають передавати щось на свій домашній сервер не питаючи власника, а не захист від підʼєднань ззовні. Це потрібно коли не можна на 100% довіряти внутрішньому середовищу.

[BeSiDa]

Перекрутили сенс роботи фаервола? Йому пофіг звідки пакет.

[Володимир Лісівка]

Цей фаєрвол працює на рівні сокетів, а не пакетів. Він може моніторити, які сокети і зʼєднання через них відкриваються, і блокувати небажані.

[BeSiDa]

Аа... ви не читали "сокбуф.н" з кернела і тому заплуталися в рівнях абстркцій (що існує реально (структура даних кернелу), а що лише "здається" ).
Крім сокету, та "буферів пов'язаних з сокетом" нічого не існує у реальності кернела (те місце, де працює бпф (віртуальна байт-код машина)).

Ви ж розумієте що "мережа" і "інтернет" вам лише здаються? ) Їх не існує. Існує лише набір даних у пам'яті, що належить кернелу та набір даних у пам'яті фізичного контролера (рівень обладнання), та ще світло чи магнітне поле в оптиці, чи проводах, чи повітрі.

[Володимир Лісівка]

Ви ж розумієте що "мережа" і "інтернет" вам лише здаються? ) Їх не існує. Існує лише набір даних у пам'яті, що належить кернелу та набір даних у пам'яті фізичного контролера (рівень обладнання), та ще світло чи магнітне поле в оптиці, чи проводах, чи повітрі.

Мережа та Інтернет (мережа мереж) існують навіть коли я сплю, так що вони мені не здаються, вони обʼєктивно існують.

Якщо ви про те, що мережа складається з фізичних компонентів, інформації, та взаємодій, то так само і живі істоти складаються з клітин чи органів, якоїсь інформації в них, та взаємодій між ними. Живі істоти існують і можуть дати в морду тим, хто в цьому сумнівається.

Якщо ви про те, що підключення до мережі Інтернет — це просто послуга, то ну так, я з цим згоден — це умовна річ.

[ps]

Це захист від витоків інформації, коли програми починають передавати щось на свій домашній сервер не питаючи власника, а не захист від підʼєднань ззовні. Це потрібно коли не можна на 100% довіряти внутрішньому середовищу.

Цікава штука, я тут віднедавна експерементував з Pi-hole на рівні DNS, але невдовзі розчарувався підходом на базі чорних списків, тому написав собі фільтруючий проксі SOCKS5 що працює виключно на білих списках, які створив собі сам. Таким чином, у мене блокується до 90% (!) вихідного Веб-трафіку тільки з FF. При чому це не просто запобігання трекінгу, але й значне заощадження батарейки, адже TLS/HTTPS сумарно може споживати багато енергії на фоновий / паразитний трафік, який хендшейкається на рандомних URL.

Далі в мене фаєрвол iptables, також на вихідний трафік, який заборонений by default, бо я повністю не довіряю реалізації проксі в програмах (вони можуть частину трафу пускати в обхід - спеціально або не передбачувано розробником: так було з прев'юшками URL в Halloy IRC, допоки не пофіксили). А тут може й згодиться, вже не вперше бачу анонс. Дякую за поширення, актуальна тема!

[ps]

Поклацав трішки цю програму, вона дійсно ловить трафік, задовбує питаннями "дозволити"/"заборонити" кожен конект. Потім я її закрив, а системний сервіс (systemd на fedora) продовжив висіти і блокував взагалі усе. Коротше поки видалив, бо в мене на федорі ручний iptables замість firewald і я не знаю, що воно мені засетапило при інсталяції з rpm.

Взагалі, цікаво як такий софт без рута перехоплює трафік усіх програм, може через логи? Я раніше думав, що для цього потрібно пускати трафік через якесь локальне проксі, або через поксі змінною середовища (на прикладі proxychains). Тут же для мене загадка (читати доки ліньки, код тим паче)

[Володимир Лісівка]

Взагалі, цікаво як такий софт без рута перехоплює трафік усіх програм, може через логи? Я раніше думав, що для цього потрібно пускати трафік через якесь локальне проксі, або через поксі змінною середовища (на прикладі proxychains). Тут же для мене загадка (читати доки ліньки, код тим паче)

Сервіс opensnitchd працює від рута, а графічний клієнт до нього підключається.

[BeSiDa]

Тут же для мене загадка (читати доки ліньки, код тим паче)

ман бпф
(там приклад де мало коду)
і так, від рута.

[BeSiDa]

Якщо ви про те, що підключення до мережі Інтернет — це просто послуга, то ну так, я з цим згоден — це умовна річ.

Чому саме ви вважаєте "послугу" умовною?
Послуга є "підключенням до локальної компанії" (до її обладнання). Куди саме підключена та компанія сама по собі, то вже її діло (не частина послуги, інколи нікуди не підключена, інколи обладнання вимикають та ін).
Послуга реалізується фізичним кабелем, або через повітря.
А от те що це "підключення до Інтернет" вам лише здається

Мережа та Інтернет (мережа мереж) існують навіть коли я сплю, так що вони мені не здаються, вони обʼєктивно існують.

Якщо ви про те, що мережа складається з фізичних компонентів, інформації, та взаємодій, то так само і живі істоти складаються з клітин чи органів, якоїсь інформації в них, та взаємодій між ними. Живі істоти існують і можуть дати в морду тим, хто в цьому сумнівається.

З того що "кулак" може "прилетіти в морду" не випливає існування чогось нафантазованого Так, ви зможете силою змусити інших стверджувати (повторюючи за вами) будь що, що вам здається Але фізично існують лише "компоненти", а от назва "всього в цілому" не є вказівником на якусь конкретну реальну фізичну річ чи точний перелік (пам'ятаєте про "корабель, кожну дошку якого замінили іншою"?).
Коли ви спите кожен фізичний компонент може існувати, а от Інтернет не існував і не існує
Так само як "температура" не існує. Є лише дуже багато молекул та прилад, про який стверджують, що він "вимірює температуру" (та інші сенсори, також тіла).

Тобто не існує "на рівні пакетів", є тільки "структура в кернелі" і в ній вказаний юзер, програма, ц-груп та інше.

[ps]

Сервіс opensnitchd працює від рута, а графічний клієнт до нього підключається.

точно, видно поставив з sudo dnf install, а там - пост-скриптинг пустив демон