Hi, hab jetzt schonmal einen hübschen Paketfilter mit iptables angelegt. Also, das wäre geregelt, nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann? (Auch Server-Dienste müssen erst gestattet werden) MfG Markus
Moin,
* Markus Hochmann
hab jetzt schonmal einen hübschen Paketfilter mit iptables angelegt. Also, das wäre geregelt, nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Huh? Ist das nicht genau, was der Paketfilter macht? Übrigens würde ich mich nicht auf Paketfilter verlassen.
(Auch Server-Dienste müssen erst gestattet werden)
Schmeiß einfach alle Server 'raus, die nicht laufen sollen. Thorsten -- The smart way to keep people passive and obedient is to strictly limit the spectrum of acceptable opinion, but allow very lively debate within that spectrum. - Noam Chomsky
Thorsten Haude wrote:
* Markus Hochmann
[2003-05-27 20:14]: hab jetzt schonmal einen hübschen Paketfilter mit iptables angelegt. Also, das wäre geregelt, nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Huh? Ist das nicht genau, was der Paketfilter macht?
genaugenommen, nein. er fragt ja nach _programmabhängig_.
Übrigens würde ich mich nicht auf Paketfilter verlassen.
ACK
(Auch Server-Dienste müssen erst gestattet werden)
Schmeiß einfach alle Server 'raus, die nicht laufen sollen.
ACK. micha -- http://home.arcor.de/nhb/pf-austricksen.html
Am Mittwoch, 28. Mai 2003 12:58 schrieb Michael Meyer:
Thorsten Haude wrote:
* Markus Hochmann
[2003-05-27 20:14]: hab jetzt schonmal einen hübschen Paketfilter mit iptables angelegt. Also, das wäre geregelt, nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Huh? Ist das nicht genau, was der Paketfilter macht?
genaugenommen, nein. er fragt ja nach _programmabhängig_. Genau, zB soll Mozilla ins Internet kommen, der Konqui aber nicht.
Übrigens würde ich mich nicht auf Paketfilter verlassen. ACK Sondern?
(Auch Server-Dienste müssen erst gestattet werden) Schmeiß einfach alle Server 'raus, die nicht laufen sollen. ACK. Trojaner&Co sind wohl nicht so die Dienste, die man einfach so abstellen kann!
MfG Markus
Moin,
* Markus Hochmann
Am Mittwoch, 28. Mai 2003 12:58 schrieb Michael Meyer:
Thorsten Haude wrote:
* Markus Hochmann
[2003-05-27 20:14]: hab jetzt schonmal einen hübschen Paketfilter mit iptables angelegt. Also, das wäre geregelt, nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Huh? Ist das nicht genau, was der Paketfilter macht?
genaugenommen, nein. er fragt ja nach _programmabhängig_. Genau, zB soll Mozilla ins Internet kommen, der Konqui aber nicht.
Uh. Keine Ahnung, darüber habe ich noch nie nachgedacht.
Übrigens würde ich mich nicht auf Paketfilter verlassen. Sondern?
Sondern rechne immer mit einem Einbruch. Oder meinst Du, worauf man sich verlassen kann? Auf nichts. Die größte Gefahr geht aber unter Linux IMHO von ungeschulten Users aus, da kannst Du sicherlich etwas machen.
(Auch Server-Dienste müssen erst gestattet werden) Schmeiß einfach alle Server 'raus, die nicht laufen sollen. Trojaner&Co sind wohl nicht so die Dienste, die man einfach so abstellen kann!
Wenn sie schon laufen, ist es zu spät, dann hilft nur noch ein sauberes Backup. Ehrlich, ich würde mir nicht die Mühe machen, an einem so gecracktem Rechner 'rumzumachen. Ich meinte klassicher Server, Apache zum Beispiel. Thorsten -- The true danger is when liberty is nibbled away for expedients. - Edmund Burke
Markus Hochmann wrote:
nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Ja, das ginge prinzipiell. Sowohl die alte ipchains als auch das neuere netfilter (aka iptables) unterstuetzen einen Regeltyp, der das Paket an ein Userspace-Programm weiterreicht und von dem eine Antwort erwartet. Kombiniert mit "-m state" koennte das in netfilter eine performante Geschichte sein. Mir ist aber kein Programm bekannt, das diese Aufgabe uebernehmen kann. Peter
Moin,
* Peter Wiersig
Markus Hochmann wrote:
nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Ja, das ginge prinzipiell. Sowohl die alte ipchains als auch das neuere netfilter (aka iptables) unterstuetzen einen Regeltyp, der das Paket an ein Userspace-Programm weiterreicht und von dem eine Antwort erwartet. Kombiniert mit "-m state" koennte das in netfilter eine performante Geschichte sein.
Da bin ich mal neugierig: Wie unterscheiden sich TCP-Pakete von Mozilla und Konqueror? Thorsten -- Anyone who is capable of getting themselves made President should on no account be allowed to do the job. - The Book
Thorsten Haude wrote:
* Peter Wiersig
[2003-05-28 13:29]: Markus Hochmann wrote:
nun wollte ich aber noch wissen ob es sowas wie ZoneAlarm auch für Linux gibt, also dass man jedem Programm einzelnd den Interzugriff erlauben oder verwehren kann?
Ja, das ginge prinzipiell. Sowohl die alte ipchains als auch das neuere netfilter (aka iptables) unterstuetzen einen Regeltyp, der das Paket an ein Userspace-Programm weiterreicht und von dem eine Antwort erwartet. Kombiniert mit "-m state" koennte das in netfilter eine performante Geschichte sein.
Da bin ich mal neugierig: Wie unterscheiden sich TCP-Pakete von Mozilla und Konqueror?
Zumindest IP-Tables bietet eine Erweiterung, die das Filtern nach User-, Gruppen-, Prozess- oder Session-ID des Prozesses, der ein Paket erzeugt hat, ermöglicht (Stichwort owner in der man-Page). Ich habe mir die Schnittstelle für die Userspace-Filter noch nicht angesehen, aber falls entsprechende Informationen dort mitgegeben werden, könnte man zur PID das entsprechende Binary (/proc/PID/exe) ermitteln und danach entscheiden. Ansonsten könnte man natürlich beim Starten eines Programms iptables-Regeln erzeugen, die Pakete von der entsprechenden PID erlauben, und diese Regeln nach dem Beenden des Prozesses wieder löschen. Aber das wäre wohl auch etwas mühselig. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
participants (5)
-
Eilert Brinkmann
-
Markus Hochmann
-
Michael Meyer
-
Peter Wiersig
-
Thorsten Haude