Здравствуйте, midl, Вы писали:
UC>>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести. M>Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
Это утопия. Если пользователь не понимает, что можно разрешать разрешать приложению, а что нельзя, то он не сможет правильно настроить фаервол даже с супердружественным GUI. Что, никогда не видел как пользователи кликают "Разрешить" даже не прочитав, что им пишет симпатичное всплывающее окошко фаера?
Если мы говорим о совсем глупом юзере, то для него фаервол должен настраивать админ, которому проще один раз сесть и наваять список правил iptables.
Если мы говорим о юзере понимающем, что происходит у него на компьютере, то для него конфиг iptables гораздо понятнее, чем нагромождения окошек, табличек и иконок. В конфиге можно комменты писать, можно сделать поиск, можно скопипастить кусок, можно забэкапить, можно грепнуть и т.д. Причём простейшими средствами, а не лицензионным(С) гуем от разработчика фаервола. Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification. А все графические тулзы для рисования правил фаервола — это зло и утопия. Вы когда-нибудь пробовали писать программы с рисуя блок-схемы мышкой? Удобно?
M>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет)
Из вас комплексы прут. Стремление оскорбить группу людей такими фразами, как "укушенные пингвином" выдает в вас закомплексованного человека.
Сильному человеку самоутверждаться за счет других нет смысла. Он и без этого в себе уверен.
M>не путай десктопы и сервера.
Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами.
Есть еще не знакомый для вас мир серверов. У которых совсем другие задачи и с которыми работают серьезные бородатые админы.
M>Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
Опять речь про домохозяек, школоту и домашние компьютеры.
У Линукса другие задачи. Представь админа у которого в стойках сотня серверов. Он, что будет с каждым сервером сидеть и ловить всплывающие сообщения визарда?
Это не возможно и так не делается. Админ просто возьмет готовый типовой конфиг iptables из своего загашника. Подправит под свои нужды и скопирует его на кучу серверов.
Задача решена максимально быстро и практично.
midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.
Здравствуйте, Философ, Вы писали:
Ф>нужно запретить софтине oml32 ползать на 21 порт
Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт.
После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.
Здравствуйте, UBUNTU-CPAHb, Вы писали:
M>>нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, M>>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение"
UC>Способ лично непривычный для Вас с виндовыми привычками.
Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет). UC>А с точки зрения безопасности системы он наиболее логичный. В iptables должно быть жестко прописано по портам и IP куда можно приложениям лезть: там до репозитария, до почтового сервера, до DNS сервера.
не путай десктопы и сервера. Для дисктопов гораздо удобней подход, применяемый в виндовых фаерах. Хотя многие укушенные пингвином имеют изврасченные представления об удобстве, предпочитая трахаться с компом полдня вместо того чтоб нажать одну кнопочку. UC>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.
Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
Здравствуйте, Пацак, Вы писали:
П>Здравствуйте, Mamut, Вы писали:
M>>Самое смешное, что в винде домохозяйки уже давно решили эту задачу и занимаются своими делами.
П>Самое смешное не это, а то, что в винде домохозяек заставляют решать задачи, решение которых под линуксом вообще нафиг никому не уперлось.
Если Линукс захочет вылезти за свои 1% на десктопе, эти задачи ему решать придется.
Здравствуйте, Mamut, Вы писали:
M>Любое приложение, которое лезет в интернет, ни разу меня не спрашивало, хочу ли я туда залезть — будь это браузер, торрент-клиент, фтп-клиент или клиент для S3.
Ну надо же! А я вот браузеру, для того, чтобы он вылез в интернет, обычно вводил что-то в адресную строку, торрент-клиенту добавлял закачки, ftp-клиентом подключался к серваку. А у тебя они, стало быть, своей жизнью живут и от тебя не зависят? Как страшно жить! (с)
M>Злость приложения определяется пользователем, а не приложением. Способа штатно запретить приложению что-либо в Линуксе, судя по всему, нет.
О как! Злость определяется пользователем — а запрещать надо приложению! Нет, реально, как страшно жить виндовозу под линухом!
Здравствуйте, Mamut, Вы писали:
M>Дадада. И раз ты Скайп запустил, ты ему разрешил через себя трафик гонять.
Прикинь, да! Когда я запускаю скайп — я таки знаю, что он будет подключаться к интернету и таким образом сам разрешаю ему это сделать. Если я не хочу, чтобы он туда лез — я его тупо не запускаю. Нахрена мне его для этого закрывать фаерволом и что такого злого может натворить у меня в системе незапущеный скайп — вопрос по-прежнему открытый.
M>Нафига тебе таким идиотом прикидываться?
Идиотом тут прикидываешься ты, когда пытаешься делать вид, будто ты не в курсе о том, что браузер у тебя лезет в интернет.
Здравствуйте, Mamut, Вы писали:
M>Вот я запустил браузер. Ты точно знаешь, какие из его плагинов куда лезут, и по каким портам?
Нет, и что дальше? Я точно так же не знаю, какую инфу сливают его плагины на 80-й порт. Мало того — в общем случае я даже не отличу стук в этот порт плагина от стука собственно браузера. Если это для тебя такая причина для паранойи — тебе, наверное стоит совсем отключить исходящий трафик браузеру в твоем любимом виндовом фаерволе. Но я как-то сильно сомневаюсь, что ты это реально делаешь — надеюсь с ума ты еще окончательно не сошел.
M>Только не надо рассказывать сказки про «я из поставил, значит я им разрешил».
Только не надо рассказывать сказки про домашнего пользователя, который будет разбираться, что такое порт 50816 и почему его любимому файрфоксу понадобилось постучаться по этому порту. Не смешно.
M>Далее, все твои и Мазая сказки про «линуксовый софт не лазит в сеть без ведома владельца» — это именно сказки. Часть софта ломится в сеть как только ты его запустил, не спрашивая твоего разрешения или ведома (браузер с плагинами), часть и так является частью системы и ломится туда же (типа синхронизации времени).
И ведь что интересно — и то, и другое при ненадобности вполне нормально отключается в настройках браузера и ntpd соответственно. Нахрена тут упало оставлять это все включеным, но при этом закрывать порты фаерволом — понятно, похоже, только тебе.
M>Вот я запустил браузер. Ты точно знаешь, какие из его плагинов куда лезут, и по каким портам?
Демагогия! Интернет-приложение должно лезть в интернет. Если вы не доверяете браузеру, его плагинам, или Скайпу, то такое приложение не надо запускать и вообще устанавливать.
А если запустили, то дайте ему выйти в сеть. Иначе как оно будет работать?
Персональный файрволл в линуксе не нужен вообще! Привычка ставить персональный файрволл есть у виндузятников. В венде много проприетарных свистоперделок, которые пихают всякую адварь и тулбары. Их надо блокировать. Варезные программы лезут в инет проверять валидность серийника. Кряки с троянами... В Линуксе ничего подобного не наблюдается.
Совсем другое дело — корпоративный файрволл. Когда надо защитить рабочую сетку, в том числе и с виндовыми машинами.
Корпоративный файрволл не может блокировать напрямую приложения на клиентских компьютерах, но может это делать косвенно, фильтруя сетевой трафик. Для этого и созданы iptables, squid и подобные инструменты.
Домохозяйкам в эту область лучше не лезть. Для настройки рабочей сети существует сисадмин с нужными скилзами. Он за это зарплату получает.
Интересно, что вы оба продолжаете заниматься все той же демагогией. «На линуксе это не нужно, на винде нужно» и т.п. На винде фаервол точно так же не нужен в подавляющем большинстве случаев. Но в тех редких случаях, когда он понадобится, решение в винде тривиально. Для Линукса, судя по всему, нужно несколько сотен сообщений лютого баттхерта и демагогии на одно неполное решение
Здравствуйте, Mazay, Вы писали:
M>ХЗ. Если не гаматься, то линукса вполне хватает для домашнего юзера. Кино посмотреть, в инете посерфить, музыку послушать. Что ещё надо для счастья? M>У десктопов есть потребность в дешёвой, безопасной, стабильной ОС, без излишних наворотов, без прожорливости до ресурсов, без необходимости искать софт по говносайтам (когда уже МС сделает аналог AppStore?).
Справедливости ради — не совсем понятно, как в таком режиме использования у домашнего юзера может появиться потребность "закрыть фаерволом доступ к порту XX софтине YYY".
S>>>for PID in `ps aux | grep oml32 | cut -b 10-14`
S>>>
S>Ну, не нравится ``, используй $() вместо. S>И вообще, поставленная задача выполнена? Выполнена.
Представь наличие в системе процесса с именем, например koml32. Или процессу с параметром oml32 (тот же grep туда попадет). Или наличие логина, в котором есть последовательность oml32.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Мда, как все печально в этом вашем линуксе. То что в винде делается за несколько секунд в пару кликов, в пингвине уже сутки брейнштормите как решить задачу
Здравствуйте, ДимДимыч, Вы писали:
ДД>Здравствуйте, Sheridan, Вы писали:
S>>
S>>for PID in `ps aux | grep oml32 | cut -b 10-14`
S>>
Здравствуйте, Mazay, Вы писали:
M>Если мне не нравится, что софт шлёт что-то в сеть, то я правлю его исходник
Это сейчас не для красного словца — тебе реально приходилось это делать? Лично я вообще не припомню, чтобы для какой-то линуксовой программы у меня появлялась необходимость отключать ей доступ к сети как-то иначе, кроме как в ее же конфиге. Имхо автора такой проги в линукс-сообществе давно бы уже отходили по морде ссаными тряпками.
Здравствуйте, Mamut, Вы писали:
П>>Самое смешное не это, а то, что в винде домохозяек заставляют решать задачи, решение которых под линуксом вообще нафиг никому не уперлось. M>Если Линукс захочет вылезти за свои 1% на десктопе, эти задачи ему решать придется.
Если у бабушки появятся яйца — она станет дедушкой.
Здравствуйте, Mamut, Вы писали:
M>Дадада, все приложения в Линуксе ислючительно добрые и ниразу никуда не лезут без спроса пользователя, агага. Сказочки расскажешь как раз той самой бабушке
А ты готов найти в репозитории той же Убунты злое приложение, которое лезет в инет без спроса пользователя и без возможности отключения? Или чисто лужи газифицируешь?
M>>Любое приложение, которое лезет в интернет, ни разу меня не спрашивало, хочу ли я туда залезть — будь это браузер, торрент-клиент, фтп-клиент или клиент для S3.
П>Ну надо же! А я вот браузеру, для того, чтобы он вылез в интернет, обычно вводил что-то в адресную строку, торрент-клиенту добавлял закачки, ftp-клиентом подключался к серваку. А у тебя они, стало быть, своей жизнью живут и от тебя не зависят? Как страшно жить! (с)
Дадада. И раз ты Скайп запустил, ты ему разрешил через себя трафик гонять. И вообще, раз ты что-то запустил == разрешил. Нунуну. Нафига тебе таким идиотом прикидываться?
M>>Злость приложения определяется пользователем, а не приложением. Способа штатно запретить приложению что-либо в Линуксе, судя по всему, нет.
П>О как! Злость определяется пользователем — а запрещать надо приложению! Нет, реально, как страшно жить виндовозу под линухом!
Здравствуйте, Философ, Вы писали:
Ф>Привычка ставить персональный фирвол появилась после нескольких эпидемий червей. В линуксе такое будет наблюидаться после того, как в сети будет не одна линуховая машина (десктопная) на сотню, а как минимум 20.
Это скорее страшилка. Линуксовых машин в сети уже сейчас миллионы, черви и вирусы под них тоже писались не единожды. Если линукс реально настолько слабо защищен, то по идее мы давно уже должны были иметь хотя бы одну эпидемию. Ан нет — ничего подобного тому же Mydoom под линухами почему-то до сих пор не обнаруживается.
Ф>Вторая причина появления у пользователей персональных фирволов выглядит примерно вот так: Ф>http://www.rsdn.ru/forum/flame.comp/4070557.1.aspx
Это — да. Но в условиях, когда комп подключен через безлимитку, а [почти] весь софт обновляется с репозиториев — попасть таким образом на бабки становится все-таки довольно затруднительно.
Здравствуйте, Пацак, Вы писали:
П>Вообще говоря нет. Решена задача "закрыть 21 порт всем запущеным процессам oml32". Ставилась, насколько я понял, "всегда при запуске oml32 автоматически закрывать ему 21 порт".
inotify\fnotify на /proc
Все реализуемо. Но не для домохозяек естественно.
ДД>Кстати, запрещать соединение по имени приложения — полумера. Никто не мешает вредному приложению запустить другую программу, например ftp-клиент, и с помощью нее уже выкачивать то, что надо.
Троян может слить данные о паролях кредитках засунув в POST запрос браузера.
И еще куча других хитрых способов обойти контроль приложений.\
В Венде это решается монструозными антивирусно-файрольными комбайнами с проактивной защитой. Которые тормозят, создают ложные срабатывания.
От таких антивирусных комбайнов вреда больше, чем от вирусов.
Здравствуйте, the_daily_ragnarok, Вы писали:
__>Здравствуйте, Философ, Вы писали:
Ф>>нужно запретить софтине oml32 ползать на 21 порт
__>Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт. __>После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.
не все программы предоставляют возможность переназначить порты => решение не годится
(по 21 порту софтина обновляется)
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, maykie, Вы писали:
Ф>>нужно запретить софтине oml32 ползать на 21 порт
M>Юзер фреднли коммьюнити убунтоидов нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, запускать из группы приложение и будет счастье и двойная радуга засияет над небом
M>http://ubuntuforums.org/showthread.php?t=1188099
M>(Там правда говорится про полное отключение инета, но переделать это на только 21 порт не сложно)
M>Оставим за кадром что софтину надо будет запускать через враппер(или поставить setgid бит — наверное сработает, не проверял)
M>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение" /s
Конечно все эти операции хорошо бы завернуть в одну кнопку "заблокировать приложение", выскакивающую при первом доступе в интернет.
Но с чисто технической точки зрения вполне сипматичный способ. Выглядит гораздо естественней чем виндузовый подход, когда каждый фаервол самостоятельно организует свою систему прав доступа.
Ваш сарказм по поводу ""всего лишь" создать группу пользователей" не обоснован. В Линуксе группы создаются легко и непринуждённо на каждый чих. Дело в том, что здесь группы несут в себе иную смысловую нагрузку, не такую как в Винде. Обратите внимание, что Линуксе на каждый файл можно установить только 1 пользователя-владельца и только 1 группу. И этого достаточно, чтобы обеспечить тот же функционал, что и в Виндовых ACL.
Здравствуйте, UBUNTU-CPAHb, Вы писали:
M>>не путай десктопы и сервера.
UC>Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами. UC>Есть еще не знакомый для вас мир серверов. У которых совсем другие задачи и с которыми работают серьезные бородатые админы.
M>>Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе
UC>Опять речь про домохозяек, школоту и домашние компьютеры. UC>У Линукса другие задачи.
ХЗ. Если не гаматься, то линукса вполне хватает для домашнего юзера. Кино посмотреть, в инете посерфить, музыку послушать. Что ещё надо для счастья?
У десктопов есть потребность в дешёвой, безопасной, стабильной ОС, без излишних наворотов, без прожорливости до ресурсов, без необходимости искать софт по говносайтам (когда уже МС сделает аналог AppStore?). Так что есть люди, которые хотят Линукс на своём десктопе. Вне зависимости от того, как к этому относятся бородатые админы.
UC>midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.
Здравствуйте, Sheridan, Вы писали:
S>И вообще, поставленная задача выполнена? Выполнена.
Вообще говоря нет. Решена задача "закрыть 21 порт всем запущеным процессам oml32". Ставилась, насколько я понял, "всегда при запуске oml32 автоматически закрывать ему 21 порт".
Здравствуйте, Mamut, Вы писали:
П>>>Вообще говоря нет. Решена задача "закрыть 21 порт всем запущеным процессам oml32". Ставилась, насколько я понял, "всегда при запуске oml32 автоматически закрывать ему 21 порт".
S>>inotify\fnotify на /proc S>>Все реализуемо. Но не для домохозяек естественно.
M>Самое смешное, что в винде домохозяйки уже давно решили эту задачу и занимаются своими делами. В то время, как линуксоиды сутки обсуждают задачу
Потому что на Линуксе это ОЧЕНЬ нетепичная задача. Особенно на десктопе. Потому что так сложилось, что линуксовый софт не лазит в сеть без ведома владельца. Если мне не нравится, что софт шлёт что-то в сеть, то я правлю его исходник, а не занимаюсь сексом с перехватом API-вызовов.
Здравствуйте, Mazay, Вы писали:
M>Потому что на Линуксе это ОЧЕНЬ нетепичная задача. Особенно на десктопе. Потому что так сложилось, что линуксовый софт не лазит в сеть без ведома владельца. Если мне не нравится, что софт шлёт что-то в сеть, то я правлю его исходник, а не занимаюсь сексом с перехватом API-вызовов.
Вообще задача должна бы красиво решиться с помощью SELinux. Но за дюжину лет пользования линуксом на десктопе такой задачи ни разу не возникало.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
M>>Дадада, все приложения в Линуксе ислючительно добрые и ниразу никуда не лезут без спроса пользователя, агага. Сказочки расскажешь как раз той самой бабушке
П>А ты готов найти в репозитории той же Убунты злое приложение, которое лезет в инет без спроса пользователя и без возможности отключения? Или чисто лужи газифицируешь?
Любое приложение, которое лезет в интернет, ни разу меня не спрашивало, хочу ли я туда залезть — будь это браузер, торрент-клиент, фтп-клиент или клиент для S3. Злость приложения определяется пользователем, а не приложением. Способа штатно запретить приложению что-либо в Линуксе, судя по всему, нет. Ну если не считать того, что за сутки обсуждения вы родили ровно одно решение.
Здравствуйте, Mamut, Вы писали:
M>Интересно, что вы оба продолжаете заниматься все той же демагогией. «На линуксе это не нужно, на винде нужно» и т.п. На винде фаервол точно так же не нужен в подавляющем большинстве случаев.
Далеко не "так же", и ты это прекрасно знаешь.
M>Но в тех редких случаях, когда он понадобится, решение в винде тривиально.
Только случаев таких для линукса ты отчего-то так и не придумал ни одного.
M>Интересно, что вы оба продолжаете заниматься все той же демагогией. M>Удобная, интуитивно понятная и дружественная к пользователю система, ага.
Дорогой Мамут, я — не линуксовый фанат. Предпочитаю винду на десктопе, а линкус на сервере.
И статистика о том же говорит: Линус занимает 1% десктопов и 60% серверов.
Самый распространенный юзкейс линуксового файрволла — это защита локальной корпоративной сети от внешнего интернета. Стоит отдельная машина и защищает локалку от входящих соединений, не позволяет сотрудникам шастать по развлекательным ресурсам, фильтрует не нужный трафик. Таким файрволом можно запретить не нужным приложениям ходить в интернет. Скажем, надо запретить Аську. Это можно сделать. Только не контролем приложений (приложения запускаются на других компьютерах), а фильтрацией трафика.
Виндузятникам этот момент не понятен. Они привыкли к персональным файрволам и по другому у них мозги не работают.
В общем, Линукс — это другой мир, заточенный под другие задачи и с другой идеологией. Со своим уставом в чужой монастырь не ходят. А виндузятники не разобравшись начинают топать ногами и орать: "Где мой любимый свистоперделочный файрволл?"
P.S. Наш обиженный мальчик увлеченно ставит минусы, поджав губки Чем бы дитятко не тешилось.
M>>Интересно, что вы оба продолжаете заниматься все той же демагогией. «На линуксе это не нужно, на винде нужно» и т.п. На винде фаервол точно так же не нужен в подавляющем большинстве случаев.
П>Далеко не "так же", и ты это прекрасно знаешь.
Конечно прекрасно. Для серверов, как и для серверов на Линуксе, не нужен. В пределах 1% (такого же, как у Линукса на десктопе) — тоже не нужен.
M>>Но в тех редких случаях, когда он понадобится, решение в винде тривиально.
П>Только случаев таких для линукса ты отчего-то так и не придумал ни одного.
Я тебе и для винды не особо придумаю. Но при этом эта задача для винды решается тривиально. В то время, как сливаются и занимаются демагогией именно линуксоиды.
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, midl, Вы писали: M>>не путай десктопы и сервера. Для дисктопов гораздо удобней подход, применяемый в виндовых фаерах. Хотя многие укушенные пингвином имеют изврасченные представления об удобстве, предпочитая трахаться с компом полдня вместо того чтоб нажать одну кнопочку. Ops>Мне дома не удобней. У меня роутер — микротик, и он меня полностью устраивает. Да, на нем нужно нажать 2 кнопочки, но это несложно. Правда 1 раз пришлось настроить, целый час потратил. А подход в виндовых фаерах реализуется просто мозгами — не качай хз что. С 96 года ни одного вируса. Надо головой думать, а не гавно качать.
А чтож ты предлагаешь делать, вообще не пользоваться софтом? Вот есть гавно-адоб, я б судовольствием его не ставил. Но вот, ксожалению, почему-то многие любят пдф и иногда присылают документы внем. Приходится это гавно держать на компе
Здравствуйте, the_daily_ragnarok, Вы писали:
__>Здравствуйте, Философ, Вы писали:
Ф>>нужно запретить софтине oml32 ползать на 21 порт
__>Закрываешь 21 нафиг. Настраиваешь трансляцию портов, чтобы те, кто лезет на порт 2121 наружу транслировались как идущие на 21 порт. __>После этого всем легальным программам прописываешь вместо 21 порт 2121. Задача решена.
Здравствуйте, the_daily_ragnarok, Вы писали:
__>Здравствуйте, Abyx, Вы писали:
A>>-1. A>>Вы решили другую задачу.
__>Я так понимаю, что если сарказм не обозначен тегом или смайликом, то он непонятен?
Для того чтобы отличать сарказм нужно знать человека хотя-бы немного.
Здравствуйте, Философ, Вы писали:
Ф>нужно запретить софтине oml32 ползать на 21 порт
Юзер фреднли коммьюнити убунтоидов нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, запускать из группы приложение и будет счастье и двойная радуга засияет над небом
M>нашло очевиднейший юзерфрендлейший способ: надо "всего лишь" создать группу пользователей, назначить ей нужные правила в iptables, M>Поистине удобный способ. Гораздо более простой, чем нажать кнопку "заблокировать приложение"
Способ лично непривычный для Вас с виндовыми привычками.
А с точки зрения безопасности системы он наиболее логичный. В iptables должно быть жестко прописано по портам и IP куда можно приложениям лезть: там до репозитария, до почтового сервера, до DNS сервера.
Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести.
Здравствуйте, UBUNTU-CPAHb, Вы писали:
M>>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет)
UC>Из вас комплексы прут. Стремление оскорбить группу людей такими фразами, как "укушенные пингвином" выдает в вас закомплексованного человека. UC>Сильному человеку самоутверждаться за счет других нет смысла. Он и без этого в себе уверен.
Своими неумелыми попытками корчить из себя психолога неплохо веселишь окружающих. Жги еще!
M>>не путай десктопы и сервера.
UC>Вот именно! Не надо мерить все своим домашними компьютером. Домашний рассчитан на использование домохозяйками и школотой. Поэтому он такой. С визардами.
Ты в своей жизни пользуешься исключительно серверами? И инет дома серфишь исключительно на серверах, и прогаешь? Я всегда знал что укушенные пингвином такие извращенцы
UC>Есть еще не знакомый для вас мир серверов.
Я тебе уже говорил чтоб выкинул свой телепатический модуль. Он брешет больше чем синоптики
UC>Опять речь про домохозяек, школоту и домашние компьютеры. UC>У Линукса другие задачи. Представь админа у которого в стойках сотня серверов. Он, что будет с каждым сервером сидеть и ловить всплывающие сообщения визарда?
Вот за это спасибо, когда в очередной раз ктонить начнет втирать что убунта это десктопная ось для нормальных пользователей, буду давать ссылку на твое сообщение.
UC>midl, не трогайте Линукс. Он не для вас. Каждому — свое. Кому опера нравиться слушать, а кому Дом2 смотреть. Каждому — свое.
Как бородатые задроты ревнуют свою цацу Лучшеб с девушками занимался сексом, а не с линуксом
Здравствуйте, Mazay, Вы писали:
M>Здравствуйте, midl, Вы писали:
UC>>>Если приложение должно лазать по произвольным IP адресам (скажем браузер, торрент, скайп) — оно потенциально опасное. Такое приложение надо запускать от другого юзера. Для него более вольные правила в фарволле, зато локальные права более жестко ограниченные, чтоб такое опасное приложение локально не смогло вред нанести. M>>Ну так делайте все это в фаерволе Юзеру не надо знать все эти подробности, ему надо чтоб все работало при минимальном гиморе M>Это утопия. Если пользователь не понимает, что можно разрешать разрешать приложению, а что нельзя, то он не сможет правильно настроить фаервол даже с супердружественным GUI. Что, никогда не видел как пользователи кликают "Разрешить" даже не прочитав, что им пишет симпатичное всплывающее окошко фаера?
Не передергивай, одно с другим не связано Если человек знает что можно разрешить, а что нет, это еще не значит что он предпочтет полдня трахатся с конфигами и сниферами вместо того чтоб за минуту все настроить в удобной гуишке
Ты делишь все на черное и белое — либо тупая домохозяйка вообще не думающай что нажимает, либо бородатый админ. Между ними есть куча промежуточных градаций M>Если мы говорим о совсем глупом юзере, то для него фаервол должен настраивать админ, которому проще один раз сесть и наваять список правил iptables.
Счего ты взял что в гуишных фаерах нет функции импорта-экспорта конфига? M>Если мы говорим о юзере понимающем, что происходит у него на компьютере, то для него конфиг iptables гораздо понятнее, чем нагромождения окошек, табличек и иконок. В конфиге можно комменты писать, можно сделать поиск, можно скопипастить кусок, можно забэкапить, можно грепнуть и т.д.
Опять таки, счего ты взял что всего этого нет в гуишном фаере? M>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
А это важная функция для десктопного фаервола, без он неюзабельный Это чисто серверный фаер, на десктопе его невозможно юзать без этого.
M>Ты в своей жизни пользуешься исключительно серверами? И инет дома серфишь исключительно на серверах, и прогаешь?
Причем здесь моя персона?
Для UNIX систем целевая аудитория — это сервера и встраиваемые системы.
На десктопе применение ограниченно. На корпоративный десктоп устанавливают и настраивают Linux бородатые админы.
На домашний десктоп тоже ставят себе админы. Они к нему на работе привыкли и дома для них проще и понятнее Linux.
M>Вот за это спасибо, когда в очередной раз ктонить начнет втирать что убунта это десктопная ось для нормальных пользователей, буду давать ссылку на твое сообщение.
Здесь я с тобой полностью согласен и поддерживаю однозначно!!! Дай лапу.
Слово Убунта у меня вызывает лютую ненависть. Зачем они пытаются сделать Linux для школоты? Зачем они скрещивают Linux со свистоперделками? Зачем скрещивать ежа с ужом?
M>Как бородатые задроты ревнуют свою цацу Лучшеб с девушками занимался сексом, а не с линуксом
Фантазии закомплексованного человека.
В реальности, бородатые админы, кого лично знаю. Для них это работа. Они за нее получают зарплату. Хороший админ на работе большую часть времени пинает балду. А после работы у него семья.
Здравствуйте, midl, Вы писали:
M>>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification. M>А это важная функция для десктопного фаервола, без он неюзабельный Это чисто серверный фаер, на десктопе его невозможно юзать без этого.
Короче, если тебе реально нужен фаер на линуксе на десктопе, то могу посоветовать только заблокировать все порты своему юзеру в iptables, включить логгинг блокируемых пакетов и запустить в отдельной консоли tailf. По мере блокирования пакетов, включать разрешения. Ничего более дружественного я не знаю.
Здравствуйте, ambel-vlad, Вы писали:
M>>Он непривычный сточки срения любого нормального человека.(укушенные пингвином не всчет). AV>А с чего укушенные Билли считаются нормальными людьми?
Щас разве что балмером. Билли уже давно не при делах.
Здравствуйте, Mazay, Вы писали:
M>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
Можно сделать с помощью -j LOG или ULOG, а там хоть в Gnime Notification, хоть сразу на принтер.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
Здравствуйте, ДимДимыч, Вы писали:
ДД>Представь наличие в системе процесса с именем, например koml32. Или процессу с параметром oml32 (тот же grep туда попадет). Или наличие логина, в котором есть последовательность oml32.
Здравствуйте, ДимДимыч, Вы писали:
ДД>Здравствуйте, Mazay, Вы писали:
M>>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
ДД>Можно сделать с помощью -j LOG или ULOG, а там хоть в Gnime Notification, хоть сразу на принтер.
Эмммм. А можно поподробнее? Особенно про "в Gnome Notification".
П>>Вообще говоря нет. Решена задача "закрыть 21 порт всем запущеным процессам oml32". Ставилась, насколько я понял, "всегда при запуске oml32 автоматически закрывать ему 21 порт".
S>inotify\fnotify на /proc S>Все реализуемо. Но не для домохозяек естественно.
Самое смешное, что в винде домохозяйки уже давно решили эту задачу и занимаются своими делами. В то время, как линуксоиды сутки обсуждают задачу
Здравствуйте, Mazay, Вы писали:
M>Здравствуйте, ДимДимыч, Вы писали:
ДД>>Здравствуйте, Mazay, Вы писали:
M>>>Реально iptables не хватает только всплывающих сообщений о блокировках сетевых пакетов и программ. Хотя бы через Gnome Notification.
ДД>>Можно сделать с помощью -j LOG или ULOG, а там хоть в Gnime Notification, хоть сразу на принтер.
M>Эмммм. А можно поподробнее? Особенно про "в Gnome Notification".
M>Потому что на Линуксе это ОЧЕНЬ нетепичная задача. Особенно на десктопе. Потому что так сложилось, что линуксовый софт не лазит в сеть без ведома владельца.
Здравствуйте, Пацак, Вы писали:
П>Здравствуйте, Mazay, Вы писали:
M>>Если мне не нравится, что софт шлёт что-то в сеть, то я правлю его исходник
П> П>Это сейчас не для красного словца — тебе реально приходилось это делать? Лично я вообще не припомню, чтобы для какой-то линуксовой программы у меня появлялась необходимость отключать ей доступ к сети как-то иначе, кроме как в ее же конфиге. Имхо автора такой проги в линукс-сообществе давно бы уже отходили по морде ссаными тряпками.
Это я гипотетическую ситуацию рассмотрел. Вроде бы что-то такое было в Хроме, но в Хромиуме это уже порезали.
П>>>Самое смешное не это, а то, что в винде домохозяек заставляют решать задачи, решение которых под линуксом вообще нафиг никому не уперлось. M>>Если Линукс захочет вылезти за свои 1% на десктопе, эти задачи ему решать придется.
П>Если у бабушки появятся яйца — она станет дедушкой.
Дадада, все приложения в Линуксе ислючительно добрые и ниразу никуда не лезут без спроса пользователя, агага. Сказочки расскажешь как раз той самой бабушке
Здравствуйте, Mamut, Вы писали:
M>Способа штатно запретить приложению что-либо в Линуксе, судя по всему, нет. Ну если не считать того, что за сутки обсуждения вы родили ровно одно решение.
M>>Дадада. И раз ты Скайп запустил, ты ему разрешил через себя трафик гонять.
П>Прикинь, да! Когда я запускаю скайп — я таки знаю, что он будет подключаться к интернету и таким образом сам разрешаю ему это сделать. Если я не хочу, чтобы он туда лез — я его тупо не запускаю. Нахрена мне его для этого закрывать фаерволом и что такого злого может натворить у меня в системе незапущеный скайп — вопрос по-прежнему открытый.
M>>Нафига тебе таким идиотом прикидываться?
П>Идиотом тут прикидываешься ты, когда пытаешься делать вид, будто ты не в курсе о том, что браузер у тебя лезет в интернет.
Вот я запустил браузер. Ты точно знаешь, какие из его плагинов куда лезут, и по каким портам? Только не надо рассказывать сказки про «я из поставил, значит я им разрешил». Далее, все твои и Мазая сказки про «линуксовый софт не лазит в сеть без ведома владельца» — это именно сказки. Часть софта ломится в сеть как только ты его запустил, не спрашивая твоего разрешения или ведома (браузер с плагинами), часть и так является частью системы и ломится туда же (типа синхронизации времени).
Если пользователь решил запретить какой-то программе будучи запущенной лезть куда-либо — это вопросы пользователя. Вся остальная демагогия насчет «ничего никуда не лезет, это не для домохозяек» и т.п. — ничто иное, как демагогия, которой пытаются прикрыть тот факт, что для решения такой простейшей задачи понадобились сутки на поиск решения.
Здравствуйте, Mamut, Вы писали:
M>>Потому что на Линуксе это ОЧЕНЬ нетепичная задача. Особенно на десктопе. Потому что так сложилось, что линуксовый софт не лазит в сеть без ведома владельца. M>В который раз я слышу эти сказки
Здравствуйте, UBUNTU-CPAHb, Вы писали: UC>Персональный файрволл в линуксе не нужен вообще! Привычка ставить персональный файрволл есть у виндузятников. Кряки с троянами... В Линуксе ничего подобного не наблюдается.
Привычка ставить персональный фирвол появилась после нескольких эпидемий червей. В линуксе такое будет наблюидаться после того, как в сети будет не одна линуховая машина (десктопная) на сотню, а как минимум 20.
Сам когда-то сидел только на gprs'е и платил по 8 рублей за метр, да и сейчас периодически куда-нибудь езжу. За сим скачаные не вовремя обновления вызывают кучу матов.
Всё сказанное выше — личное мнение, если не указано обратное.
Здравствуйте, midl, Вы писали: M>не путай десктопы и сервера. Для дисктопов гораздо удобней подход, применяемый в виндовых фаерах. Хотя многие укушенные пингвином имеют изврасченные представления об удобстве, предпочитая трахаться с компом полдня вместо того чтоб нажать одну кнопочку.
Мне дома не удобней. У меня роутер — микротик, и он меня полностью устраивает. Да, на нем нужно нажать 2 кнопочки, но это несложно. Правда 1 раз пришлось настроить, целый час потратил. А подход в виндовых фаерах реализуется просто мозгами — не качай хз что. С 96 года ни одного вируса. Надо головой думать, а не гавно качать.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Mamut, Вы писали:
M>Я тебе и для винды не особо придумаю. Но при этом эта задача для винды решается тривиально.
Знаешь, можно привести кучу примеров задач, которые в линуксе решаются парой строк, а в виновсе вообще никак без написания отдельного приложения. Хотя бы в рамках того же фаервола.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)
M>>Я тебе и для винды не особо придумаю. Но при этом эта задача для винды решается тривиально.
ДД>Знаешь, можно привести кучу примеров задач, которые в линуксе решаются парой строк, а в виновсе вообще никак без написания отдельного приложения. Хотя бы в рамках того же фаервола.
Ну так пишите Я-то не против Более того, я прекрасно знаю, что многие задачи в Лиунксе решаются гораздо лучше, чем винде. И?
Здравствуйте, Mamut, Вы писали:
M>Ну так пишите Я-то не против Более того, я прекрасно знаю, что многие задачи в Лиунксе решаются гораздо лучше, чем винде. И?
Что «и»? Кто тут больше всех кричит "Ааа, в линухе нельзя запретить определенному приложению коннектиться на определенный порт"?
Слона нужно есть по частям, а задачи решать по мере их возникновения. Практической потребности в решении такой задачи под линуксом обычно не возникает, вот никто и не озадачивался ее решением.
Кстати, запрещать соединение по имени приложения — полумера. Никто не мешает вредному приложению запустить другую программу, например ftp-клиент, и с помощью нее уже выкачивать то, что надо. А запрещать 21-й порт для ftp-клиента — нонсенс.
Обязательно бахнем! И не раз. Весь мир в труху! Но потом. (ДМБ)