OpenSnitch je portom „Little Snitch“, programu pre MacOS. Zatiaľ neponúka balíčky pre všetky distribúcie, ako je zvykom. Vyplýva z toho nepríjemnosť: inštalácia nie je vôbec jednoduchá. Jej detailný opis je dostupný pre Ubuntu, balíčky s návodom existujú i pre Arch a Manjaro. Pre Fedoru sa mi k takémuto balíčku dopátrať nepodarilo. Zato som našiel všeobecne platný postup pre jeho nasadenie. Firewall som používal na Manjare (v KDE i XFCE edícii) a Fedore. Narazil som pritom na – ľahko opraviteľnú – chybu s GPG kľúčmi. Vo Fedore 26 sa mi inštalácia nepodarila vôbec (pre 27 a vyššie však existujú opravené balíčky).
Obrázok 1: Chyba počas inštalácie
Obrázok 2: Oprava je jednoduchá
Skrátený postup (pre Manjaro):
# yaourt -S yay # pacman -Syu libpcap libnetfilter_queue python3-pip # yay -Syu opensnitch
Práve po spustení posledného príkazu sa vyskytol spomínaný problémik. Po oprave a zopakovaní príkazu som vybral v textovom menu „4“ (číslo voľby pri grpcio-tools). Zobrazenie diff-u som odmietol (N). Potom už preklad skončil úspešne.
Ak sa nám už podarilo nasadiť OpenSnitch do systému, spustíme službu opensnitchd. A teraz už len ako bežný používateľ naštartujeme program opensnitch-ui. Tento príkaz nám spustí UI firewallu, ktoré je minimalizované v systémovom paneli.
Obrázok 3: OpenSnitch v akcii
Od tejto chvíle náš „udavač“ začína svoju prácu a reportuje každý pokus aplikácií o nové sieťové pripojenie. Je len a len na nás, či ho povolíme. Ak áno, tak za akých podmienok. Ako môžeme vidieť na obrázkoch, máme dostupné tieto tlačidlá s voľbami:
- povoliť / blokovať spojenie
- dovoliť procesu spojenie podľa určitých kritérií (proces, používateľ, IP, port, sieť...)
- povoliť jednorazovo, pre jedno sedenie, alebo neobmedzene
- Apply (použiť voľby)
Obrázok 4: Povolenie pripojenia programu
Obrázok 5: Povolenie pripojenie podľa detailných parametrov
Obrázok 6: Povolenie podľa počtu pripojení
Zaujímavé pre nás sú štatistiky, kde vidíme všetky pripojenia aplikácií. Zobrazia sa po kliknutí pravým tlačidlom na ikonku.
Obrázok 7: Štatistika pripojení
Obrázok 8: Štatistika podľa hostov
Žiaľ, je to iba okno so štatistikami a tak sa tu žiadne akcie momentálne robiť nedajú. V každom prípade, používateľská konfigurácia predvoleného správania sa firewallu sa môže zmeniť v súbore:
~/.opensnitch/ui-config.json
Osobne som si iba predĺžil prednastavený čas na použitie nastaveného pravidla (Apply) pri novom spojení. Povolené spojenia sú uložené v súbore, ktorý môžeme upraviť ručne.
Obrázok 9: Štatistika podľa procesov
Obrázok 10: Štatistika podľa IP
OpenSnitch je šikovný firewall so sľubnou budúcnosťou, no potrebuje ešte nejaký čas na vylepšovanie. Ani samotný autor zatiaľ neodporúča jeho produkčné nasadenie. Inštalácia síce môže byť pre začiatočníkov veľkou výzvou, OpenSnitch však u používateľov získal pozitívnu odozvu aj napriek tomuto faktu.
Obrázok 11: Štatistika podľa portov
Obrázok 12: Štatistika podľa používateľov
