https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html Предложены для тестирования наработки проекта OpenSnitch (https://www.opensnitch.io/), в рамках которого развивается открытый аналог проприетарного динамического межсетевого экрана Little Snitch (https://www.obdev.at/products/littlesnitch/index.html). Приложение позволяет в интерактивном режиме контролировать сетевую активность пользовательских приложений и блокировать нежелательный сетевой трафик. Код проекта написан на языке Go (GUI на Python и PyQt5) и распространяется (https://github.com/evilsocket/opensnitch) под лицензией GPLv3.<br><br><br><br><br>При обнаружении попыток установки приложением сетевых соединений, не подпадающих под ранее установленные разрешения, OpenSnitch выводит пользователю диалог с предложением принять решение о продолжении сетевой операции или блокирования сетевой активности. Программа позволяет создавать достаточно гибкие правила доступа, позволяющие учитывать приложения, пользователей, целевые хосты и сетевые порты. Разрешения могут создаваться как на постоянной основе, так и ограничив https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#131 Wed, 24 Feb 2021 10:08:05 GMT Ну раз так все просто<br>Ждем этот велик от тебя<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#130 Wed, 24 Feb 2021 09:49:49 GMT Проги от разных юзеров?<br>Это как?<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#129 Fri, 01 Feb 2019 01:07:58 GMT &gt;gufw<br><br>ну это Вы уж совсем планку занизили<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#128 Fri, 04 May 2018 08:06:59 GMT &gt; А ты смоги сначала raw-сокеты или ICMP без рута.<br><br>Пожалуйста! CAP_NET_ADMIN процессу - и телемаркет. Поэтому он сможет в RAW и конфигурацию сети, но во всем остальном это может быть весьма обрубленый по правам юзерь, который и близко не рут.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#127 Fri, 04 May 2018 07:40:23 GMT &gt; Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались способы <br>&gt; подломить xen(виртуалка), а сколько openvz(контейнеры). <br><br>Практики читают тематические рассылки и форумы. И знают, что к каждому второму эксплойту Linux Kernel - приписка что "у нас-де есть приватный сплойт VZ, но здесь мы вам его не дадим". Потому что скрипткидисы тут же все разворотят, а профита авторам сплойта ноль.<br><br>Это даже если забыть о том факте что команда делающая VZ тупит, поэтому в VZшном ядре может болтаться энное количество широко известных CVE неопределенное время. Xen хрен его знает, я KVMом пользуюсь. В нем дыр умеренно, патчат вовремя. В майнлайне известные дыры долго не живут, да и в майнтайнерских/LTSных ядрах тоже. И не надо фикшеное ядро туповйэтить месяцами.<br><br>&gt; Начать можно с соседней новости. <br><br>Это про нового спектра? И как, его уже запатчили в VZшных ядрах? Все 8? Или надо полгодика подождать, сидючи с широко известной дыренью класса "полный пэ", как обычно у VZ?<br><br>&gt; Также они могут за https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#125 Thu, 03 May 2018 04:25:21 GMT [code]фоновый процесс opensnitchd, который выполняется с правами root и [/code]<br>как-то слишком жирно, как по мне - opensnitchd - от имени пользователя opensnitchd, а если нужно что-то поменять, то через скрипты, для которых по полному пути в /etc/sudoers что-то прописано.<br>Пользователь opensnitchd без шела и пароля.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#124 Wed, 02 May 2018 21:39:19 GMT GUI не юзабелен, ибо отжирает 100% CPU на вкладке с текущими коннектами.<br><br>Имхо, проще написать какой-нибудь свой велосипед, который бы:<br>1. просто генерил правила для iptables по дефолту логировать попытки соединений.<br>2. анализировал эти логи и показывал GUI для создания правил.<br>3. Писал бы эти правила в iptables.<br><br>Ну и для интеграции с браузерами для разделения прав для отдельных сайтов достаточно расширения к нему, у которого можно было бы узнать, какой pid вкладку с каким доменом содержит. Там вроде всё просто.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#123 Wed, 02 May 2018 16:26:13 GMT Титеретикам предлагается посмотреть сколько раз за последние годы обнаруживались способы подломить xen(виртуалка), а сколько openvz(контейнеры). Начать можно с соседней новости. Также они могут зайти на любого хостера, использующего openvz, и попробовать его взломать, после чего доложить о результатах. Предлагать взломать solaris zones даже не буду, боюсь титеретики про них не слышали.<br>Теорию тоже неплохо бы подтянуть, особенно на тему "код в ней доступа к железу не имеет". <br>Ну и наконец освоить понятие контекста и понять, что значит "в данной задаче", после чего перестать рассказывать про злобных хацкеров, когда речь идет об изоляции приложения. <br> https://www.solaris.opennet.ru/openforum/vsluhforumID3/114192.html#122 Wed, 02 May 2018 12:10:18 GMT А ты смоги сначала raw-сокеты или ICMP без рута.<br>