Linux E X P R E S

Facebook

Nahláste to firewallu…

opensnitch.png

Nebýva zvykom, aby Linuxové programy boli portované z inej platformy. Ak navyše zvážime bezpečnosť samotného systému, mohlo by sa zdať, že používať na linuxe „OpenSnitch“ – interaktívny, či aplikačný firewall – je zbytočné. Naozaj je to tak? Pozrime sa, čo nám OpenSnitch ponúka.


OpenSnitch je portom „Little Snitch“, programu pre MacOS. Zatiaľ neponúka balíčky pre všetky distribúcie, ako je zvykom. Vyplýva z toho nepríjemnosť: inštalácia nie je vôbec jednoduchá. Jej detailný opis je dostupný pre Ubuntu, balíčky s návodom existujú i pre ArchManjaro. Pre Fedoru sa mi k takémuto balíčku dopátrať nepodarilo. Zato som našiel všeobecne platný postup pre jeho nasadenie. Firewall som používal na Manjare (v KDE i XFCE edícii) a Fedore. Narazil som pritom na – ľahko opraviteľnú – chybu s GPG kľúčmi. Vo Fedore 26 sa mi inštalácia nepodarila vôbec (pre 27 a vyššie však existujú opravené balíčky).

Obrázok 1: Chyba počas inštalácie Obrázok 1: Chyba počas inštalácie

Obrázok 2: Oprava je jednoduchá Obrázok 2: Oprava je jednoduchá

Skrátený postup (pre Manjaro):

# yaourt -S yay
# pacman -Syu libpcap libnetfilter_queue python3-pip
# yay -Syu opensnitch

Práve po spustení posledného príkazu sa vyskytol spomínaný problémik. Po oprave a zopakovaní príkazu som vybral v textovom menu „4“ (číslo voľby pri grpcio-tools). Zobrazenie diff-u som odmietol (N).  Potom už preklad skončil úspešne.

Ak sa nám už podarilo nasadiť OpenSnitch do systému, spustíme službu opensnitchd. A teraz už len ako bežný používateľ naštartujeme program opensnitch-ui. Tento príkaz nám spustí UI firewallu, ktoré je minimalizované v systémovom paneli.

Obrázok 3: OpenSnitch v akcii Obrázok 3: OpenSnitch v akcii

Od tejto chvíle náš „udavač“ začína svoju prácu a reportuje každý pokus aplikácií o nové sieťové pripojenie. Je len a len na nás, či ho povolíme. Ak áno, tak za akých podmienok. Ako môžeme vidieť na obrázkoch, máme dostupné tieto tlačidlá s voľbami:

  • povoliť / blokovať spojenie
  • dovoliť procesu spojenie podľa určitých kritérií (proces, používateľ, IP, port, sieť...)
  • povoliť jednorazovo, pre jedno sedenie, alebo neobmedzene
  • Apply (použiť voľby)

Obrázok 4: Povolenie pripojenia programu Obrázok 4: Povolenie pripojenia programu

Obrázok 5: Povolenie pripojenie podľa detailných parametrov Obrázok 5: Povolenie pripojenie podľa detailných parametrov

Obrázok 6: Povolenie podľa počtu pripojení Obrázok 6: Povolenie podľa počtu pripojení

Zaujímavé pre nás sú štatistiky, kde vidíme všetky pripojenia aplikácií. Zobrazia sa po kliknutí pravým tlačidlom na ikonku.

Obrázok 7: Štatistika pripojení Obrázok 7: Štatistika pripojení

Obrázok 8: Štatistika podľa hostov Obrázok 8: Štatistika podľa hostov

Žiaľ, je to iba okno so štatistikami a tak sa tu žiadne akcie momentálne robiť nedajú. V každom prípade, používateľská konfigurácia predvoleného správania sa firewallu sa môže zmeniť v súbore:

~/.opensnitch/ui-config.json

Osobne som si iba predĺžil prednastavený čas na použitie nastaveného pravidla (Apply) pri novom spojení. Povolené spojenia sú uložené v súbore, ktorý môžeme upraviť ručne.

Obrázok 9: Štatistika podľa procesov Obrázok 9: Štatistika podľa procesov

Obrázok 10: Štatistika podľa IP Obrázok 10: Štatistika podľa IP

OpenSnitch je šikovný firewall so sľubnou budúcnosťou, no potrebuje ešte nejaký čas na vylepšovanie. Ani samotný autor zatiaľ neodporúča jeho produkčné nasadenie. Inštalácia síce môže byť pre začiatočníkov veľkou výzvou, OpenSnitch však u používateľov získal pozitívnu odozvu aj napriek tomuto faktu.

Obrázok 11: Štatistika podľa portov Obrázok 11: Štatistika podľa portov

Obrázok 12: Štatistika podľa používateľov Obrázok 12: Štatistika podľa používateľov

Diskuze (2) Nahoru