Hallo Jürgen, hallo zusammen, Am Mittwoch, 5. Oktober 2016, 09:00:08 CEST schrieb juergen.l:
Ist e smit suse moeglich den kompletten netzwerktraffic zu scannen Mein ziel ist das, bei webanfragen, eben NUR webanfragen rausgehen Also, z.b. adobe (telefoniert nach hause), anfragen soll geblockt
Wenn Du einem Programm den Netzwerkzugriff komplett verbieten willst,
kann Dir AppArmor weiterhelfen.
Da Du eh schon adobe nennst, rate ich mal und kopiere mein AppArmor-
Profil für acroread in diese Mail (siehe [1]). Das ist allerdings schon
etwas älter und benötigt evtl. ein paar Ergänzungen. (Ich habe auch
gerade ein paar offensichtlich veraltete Regeln (für Dateien in /opt)
entfernt - vermutlich brauchst Du dafür Ersatz in irgendeiner Form.)
Der interessanteste Punkt für Dich ist, keine "network"-Regeln ins Profil
zu packen. Auch nicht indirekt - z. B. erlaubt abstractions/nameservice
Netzwerkzugriff. Ohne "network"-Regeln verbietet AppArmor den
Netzwerkzugriff [2].
Der Haken an der Sache ist, dass Du nicht selektiv pro Port oder Ziel-IP
sperren kannst - das steht zwar auf der Wunschliste, ist aber noch nicht
implementiert. Derzeit geht nur Netzwerk ja oder nein (naja, IPv4 und
IPv6 kannst Du getrennt erlauben, aber das hilft Dir vermutlich nicht
viel).
Wenn es Dir nur ums Verbieten von Netzwerk-Zugriffen geht, kannst Du
Dateizugriffe auch mit einer pauschalen "file,"-Regel erlauben - wirklich
empfehlenswert ist das allerdings nicht. (Du traust dem Programm nicht
genug, um ihm Netzwerkzugriffe zu erlauben - aber all Deine Dateien soll
es lesen dürfen? ;-)
Für den AppArmor-Einstieg empfehle ich:
- meinen AppArmor Crash Course auf http://blog.cboltz.de (gibt es auch
als Video von der openSUSE Conference 2016)
- das AppArmor-Kapitel im Security Guide auf http://doc.opensuse.org
Gruß
Christian Boltz
[1] in /etc/apparmor.d/ speichern und mit "rcapparmor reload" laden
#include