Hallo Jürgen, hallo zusammen,
Am Mittwoch, 5. Oktober 2016, 09:00:08 CEST schrieb juergen.l:
Ist e smit suse moeglich den kompletten netzwerktraffic zu scannen Mein ziel ist das, bei webanfragen, eben NUR webanfragen rausgehen Also, z.b. adobe (telefoniert nach hause), anfragen soll geblockt
Wenn Du einem Programm den Netzwerkzugriff komplett verbieten willst, kann Dir AppArmor weiterhelfen.
Da Du eh schon adobe nennst, rate ich mal und kopiere mein AppArmor- Profil für acroread in diese Mail (siehe [1]). Das ist allerdings schon etwas älter und benötigt evtl. ein paar Ergänzungen. (Ich habe auch gerade ein paar offensichtlich veraltete Regeln (für Dateien in /opt) entfernt - vermutlich brauchst Du dafür Ersatz in irgendeiner Form.)
Der interessanteste Punkt für Dich ist, keine "network"-Regeln ins Profil zu packen. Auch nicht indirekt - z. B. erlaubt abstractions/nameservice Netzwerkzugriff. Ohne "network"-Regeln verbietet AppArmor den Netzwerkzugriff [2].
Der Haken an der Sache ist, dass Du nicht selektiv pro Port oder Ziel-IP sperren kannst - das steht zwar auf der Wunschliste, ist aber noch nicht implementiert. Derzeit geht nur Netzwerk ja oder nein (naja, IPv4 und IPv6 kannst Du getrennt erlauben, aber das hilft Dir vermutlich nicht viel).
Wenn es Dir nur ums Verbieten von Netzwerk-Zugriffen geht, kannst Du Dateizugriffe auch mit einer pauschalen "file,"-Regel erlauben - wirklich empfehlenswert ist das allerdings nicht. (Du traust dem Programm nicht genug, um ihm Netzwerkzugriffe zu erlauben - aber all Deine Dateien soll es lesen dürfen? ;-)
Für den AppArmor-Einstieg empfehle ich: - meinen AppArmor Crash Course auf http://blog.cboltz.de (gibt es auch als Video von der openSUSE Conference 2016) - das AppArmor-Kapitel im Security Guide auf http://doc.opensuse.org
Gruß
Christian Boltz
[1] in /etc/apparmor.d/ speichern und mit "rcapparmor reload" laden
#include <tunables/global>
/usr/X11R6/bin/acroread { # <--- Pfad ggf. anpassen #include <abstractions/base> #include <abstractions/bash> #include <abstractions/consoles> #include <abstractions/fonts> #include <abstractions/kde> #include <abstractions/gnome> #include <abstractions/X>
/bin/basename mrix, /bin/bash mix, /bin/cat mrix, /bin/grep mrix, /bin/uname mrix,
@{HOME}/.adobe/** rw, @{HOME}/.fonts.cache-* r, @{HOME}/.gconfd/saved_state lrw, @{HOME}/.gconfd/saved_state.orig lw, @{HOME}/.gconfd/saved_state.tmp lrw, @{HOME}/.gconf r, @{HOME}/.gconf/.testing.writeability lw, @{HOME}/**.pdf rw,
/usr/X11R6/bin/acroread r, /usr/X11R6/lib/Acrobat7/** mrix, /usr/bin/cut mrix, /usr/bin/dirname mrix, /usr/bin/lp rUx, /usr/bin/which mrix, }
[2] Zumindest mit openSUSE- und Ubuntu-Kerneln. Der Upstream-Kernel unterstützt AFAIK noch keine network-Regeln.