Опубликован выпуск классического инструментария для управления пакетным фильтром iptables 1.8.9, развитие которого последнее время сосредоточено на компонентах для сохранения обратной совместимости - iptables-nft и ebtables-nft, предоставляющих утилиты с тем же синтаксисом командной строки, как в iptables и ebtables, но транслирующих полученные правила в байткод nftables. Оригинальный набор программ iptables, включая ip6tables, arptables и ebtables, в 2018 году переведён в разряд устаревших и уже заменён на nftables в большинстве дистрибутивов...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58469
Динамические правила на уровне приложения (с привязкой к иноде экзешника на диске и пид запущенного кода, с защитой от подмены) там не хотят добавить в линукс?
ты понимаешь, что это бред? есть миллион способов обойти эти правила, например через создание подпроцесса "curl". Всё, пид там будет другой. "Индоа экзешника" тоже другая. И ничего не "подменено".
Именно. Нужна проверка, что файл именно тот, который был в момент установки правила.
Кстати, с неймспейсами можно без проблем запихнуть всех потомков в те же рамки. Но надо контролировать, что родительский процесс именно то чем представляется. Может хеш бинаря в памяти проверять тоже.
Тебе нужен явно другой инструмент... Например, апармор может наследовать права при запуске дочернего процесса, и пофик, какая там будет нода и пида.
В момент установки правила, а не в момент запуска.
т.е. правило должно создаваться после запуска программы?
Собственно, да, при запуске проверять что это тот самый файл, потом разрешающее правило привязывается и не должно быть возможности подменить процесс, файл, или код.
Запускай нехорошие приложения в network namespaces с зарезанным доступом в сеть. Ну или android-way, от другого пользователя с фильтрацией по owner в iptables
Угу, очень многие приложения хотят локалхост для работы и чтобы выполнить ip link set lo up надо мапить рута в неймспейсе, и в итоге все приложения проверяющие айди считают что запущены от рута и имеют много лишних возможностей. Есть назойливый софт, отказывающийся запускаться от рута опять же, или работающий иначе. Пока единственное решение запуск от другого пользователя, но мне хотелось бы видеть список исходящих соединений процесса и разрешать/блокировать их в интерфейсе.
SELinux в помощь.
> ip link set lo up надо мапить рута в неймспейсеcap net admin не хватит?
А это не хуже? Потому что unshare не получает реальных админских прав, только в неймспейсе рут.
Но кстати этого рута в неймспейсе емнип достаточно чтобы выставить cap_sys_admin+ep для любого файла, так что тоже такое себе.
Ты неправ, аноним, нужно запускать в cgroup net_cls. Неймспейс тот же, но по clsid можно фильтровать как минимум в nftables, но может, и под iptables есть модуль.
opensnitch не так работает?
Сейчас из того что развивается есть только opensnitch.
> правила на уровне приложения (с привязкой к иноде экзешникавсе эти грабли проходили на винде, когда пытались сделать непробиваемые групповые политики ограниченного использования программ. но у кого-то опять зудит. а на чужой опыт наплевать.
и что - оно там разве не работает?
предполагаю, что достаточно убить или пропатчить сервис AppIdSvc или как его там.
это как SElinux отключить.
А почему тогда "пытались"? Вроде, на винде полно сервисов работает. Даже в звербанке.
> А почему тогда "пытались"?потому что это должно не отключаться так просто.
т.е. находиться в ядре (по рандомным адресам хехе).
и не модулем.
я забыл сформулировать в чем именно грабли.1) прежде чем что-то запрещать или разрешать,
необходимо точно идентифицировать "приложение",
чтобы хитрый киберпреступник не смог идентификацию подделать.
вопрос: как ?
по имени и пути (такие попытки были) ? это смешно.
по иноду и чему-то там еще, как предложил первый анон в треде ? анон не в курсе про хардлинки.
по хэш-сумме бинарника ? тормоза на старте, до первого обновления.2) что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
возможна эвристика против обычных юзеров: либо +r+x, либо +w. если +w+x - не запускать вообще.
предлагаю рассмотреть самостоятельно.
> анон не в курсе про хардлинки.У всех хардлинков на один файл одинаковый inode.
> У всех хардлинков на один файл одинаковый inode.значит симлинки. все время путаю их.
> что делать если "приложение" способно и будет создавать от себя другие "приложения" ?У каждого процесса есть родитель. Эту цепочку можно отследить.
> У каждого процесса есть родитель. Эту цепочку можно отследить.родитель init или systemd. что дальше ?
>> У каждого процесса есть родитель. Эту цепочку можно отследить.
> родитель init или systemd. что дальше ?Это уже не относится к теме. Мы говорили о том,
> "что делать если "приложение" способно и будет создавать от себя другие "приложения" ?
"Но как, Холмс?"
Кто пояснит, почему от простых и понятных правил, которыми и был удобен iptables, отказались в пользу мешанины из фигурных скобок?
А чтобы деды не разобрались
Можно каждое правило отдельной строкой команде nft передавать.
Так никто не отказался, вон все твои "простые" правила сохранили и продолжают пилить. Пользуйся на здоровье, а движок стал лучше и быстрее.
В современном мире надо эмитировать развитие даже если продукт завершён, иначе скажут что оно протухло и заброшено.
Эмитируют облигации и электроны. Развитие имитируют.
Скромное напоминание: обещанного рыжым аналога ipchains -C "как только так сразу же" так и не завезли. Как и работающего gre фильтра/ната. Как и работающего матчинга по ipsec sa. И много еще чего. Все что тебе надо знать про "развитие" и "завершенность".Т.е. оно недоделано, доделано никогда не будет, и действительно протухло и заброшено уже ПЯТНАДЦАТЬ гребаных лет - ровно с момента когда рыжему, видимо, предложили непыльную должность в коммерческой лавке.
Что не мешает ему быть лучшим на сегодняшний день пакетным фильтром, но, увы, лучшим из худших.
Просто остальные либо за деньги, либо г-но полное и абсолютное.
Потому, что «мешанина из фигурных скобок» удобно парсится и генерируется компьютером. А руками правила для фаерволла пишут только админы высоконагруженных локалхостов. В современном мире принято оперировать высокоуровневыми концептами, а не хардкодить номера портов, айпишники и прочие переменные.
Интересно посмотреть на исследование сколько в современном мире хостов администрируют корпорации, а сколько - "админы локалхостов", думаю исследование провалится ещё на обсуждении терминов кто есть кто =)
Лучше бы json в iptables завезли, чтобы парсить выхлоп было удобно.
> Лучше бы jsonлучше бы лекарство от жысон головного мозга придумали.
Жсон очень удобен для шелл-скриптов. Лучше и безопасней xml опять же.
а sed придумали трусы. ага. вот так и живем.
Нет, sed придумали умные люди, которые в отличие от тебя понимают, что такое область применимости. Именно поэтому sed не умеет работать с json и именно поэтому ты этого не понимаешь.
черт а оператор | тебе просто так дали?))
> Нет, sed придумали умные люди, которые в отличие от тебя понимают, что
> такое область применимости. Именно поэтому sed не умеет работать с json
> и именно поэтому ты этого не понимаешь.я поражаюсь новым поколениям программистов, которые не видели линукса во времена отсутствия системд)) они вечно ищут что то что усложнит работу, но им будет казаться, что так лучше)) вы прям как строители забивающие гвозди микроскопом))
sed не для парсинга если что, это потоковый редактор всего навсего.
> sed не для парсинга если что, это потоковый редактор всего навсего.кстати да браузер тоже ток читалка html разметки, а погляди че натворили?)))
вас услышали и написали nftables
nft --json list ruleset
Для "json'ификации" вывода команд есть https://kellyjonbrazil.github.io/jc/
Это надо быть сверхчеловеком чтобы помнить все эти правила. Как-то надо было настроить, с трудом разобрался, через неделю залез в конфиг и ничего не понял от слова совсем.
Я тебе секрет професии открою, только не рассказывай никому. Вместо того, чтобы заучивать правила, разберись с принципом работы и научись быстро искать нужное в мане. А свободное время можно потратить на что-нибудь приятное.
К счастью я выпилился из ойти и вкатился в сварщики на севера вахтовым методом. Сказать что доволен - ничего не сказать. Лишь жалею, что не сделал это раньше.
Теперь ты настоящий сварщик.
Работаю админом. Тоже ничерта не помню эти таблицы, правила, ipсеты, каждый раз когда нужно потрогать iptables - разбираю с нуля.
Мне тоже хотелось бы попроще.
Учи firewalld - он как раз для тебя, попроще. Синтаксис немного уе..нский, но разбираться - ни в чем не надо, просто запомнить.Собственно, того же самого можно было бы добиться просто дисциплиной и соглашениями, но это во-первых к твоему начальнику, а не к тебе, во-вторых зачем... firewalld тебе навяжет такую дисциплину, которая необходима. Плюс перехода на новые-модные nft ты даже и не заметишь.
И пришедший на твое еще неостывшее место сможет продолжить с той же точки без лишнего времени на разбирательства.
В nftables можно писать комментарии к правилам, считать по счётчикам, и вообще кучу всякой метаинформации сохранять.
В iptables тоже можно писать комментарии и считать по счётчикам, если уж на то пошло.
Я наверно тоже ИДИОТ, ufw мне всегда хватало. А iptables кроме как платной поддержкой с курсами - никак оправдать не могу. Но любопытно проверить, вот напишите мне правило, которое я не смогу повторить в ufw? Встряхну кудрями вьющимися, не за деньги :-)
ты не наверное, ты точно.Впрочем, определение из викивракии - человек, страдающий глубокой формой умственной отсталости (олигофрении), очевидно не вполне тебе подходит. Ты ей - наслаждаешься.
>ты не наверное, ты точно.Сожгут вас на костре, за ваши знания :)
пс: убил
А код будет? Что бы предметно.
Так то ufw сам iptables юзает и надо заметить довольно мусорно после него становится. Так что при большом желании всегда можешь "доделать" правила ufw через iptables, даже если что то в ufw нельзя будет сделать. То есть у задачи нулевая практическая ценность.
как там сделать NAT - хотя бы простой с маскарадом, без вписывания параметров для iptables вручную? мой беглый гугл не помог, предлагают руками лезть в before/after rules
А... э... за 4 года уже даже я переписал все свои хотелки на nft. И синтаксис там реально удобнее, даже с комментариями. Нечастый случай когда инновации реально полезны.
Хотя, наверное, на ipt ещё дофига всего держится. Какие-нибудь openWRT и проприетарные аналоги с гуями под это дело.
И не жалко вам было 4 года потратить на переписывание одного и того же?
4 года делали ОНИ, а не я. А я ща эти годы потратил 3-4 дня, наверное.
OpenWRT на nftables, начиная с последнего мажорного релиза.