Forum Linux.général Comment bloquer tout accès réseau à une application ?

Posté par NNois le 21 septembre 2017 à 12:50. Licence CC By‑SA.

Étiquettes :

sept.

2017

Bonjour,
Est-il possible de bloquer tout accès au réseau à une application sans passer par le blocage par ports du firewall.

merci

# selinux

Posté par Psychofox (Mastodon) le 21 septembre 2017 à 14:19. Évalué à 4. Dernière modification le 21 septembre 2017 à 14:22.

selinux + iptables le permet mais ce ne sera pas user friendly et tu devras lire pas mal de doc. Ubuntu fournissait apparmor mais je ne sais pas si c'est toujours d'actualité.

Sinon il existe peu de firewalls personnels sous linux mais il y'a quand même. On peut citer opensnitch, douane, firestarter ou Guarddog. C'est probablement plus user friendly pour un usage sporadique.
- [^] # Re: selinux
  
  Posté par foobarbazz le 21 septembre 2017 à 14:47. Évalué à 10. Dernière modification le 21 septembre 2017 à 14:48.
  un peu crade mais efficace, et simple, avec les network namespace de linux :
```
ip netns add pas-de-reseau
ip netns exec pas-de-reseau application
```
  Ajout : en fait c'est pas si crade… c'est même plutôt joli.
  - [^] # Re: selinux
    
    Posté par Psychofox (Mastodon) le 21 septembre 2017 à 15:08. Évalué à 3.
    
    Comme quoi en voulant aider on peut aussi apprendre beaucoup. Je n'avais jamais étudié les options d'ip ni joué "manuellement" (ie sans passer par des trucs comme systemd/docker/lxc qui te prémâchent tout) avec les namespaces linux.
    
    C'est en effet assez élégant et rapide à faire.
    - [^] # Re: selinux
      
      Posté par foobarbazz le 21 septembre 2017 à 16:15. Évalué à 3.
      
      Ma réponse s’adressait pas vraiment à toi, en fait, j'ai commencé à rédiger en lançant des pistes en vrac (je pensais à LD_PRELOAD et ce genre de truc.
      
      Et j'ai repensé à toute ses fois où j'avais besoin de mettre un processus avec une config ip particulière et qu'il y avait pas moyen d'avoir une @#!$Ə de connectivité. Et EUREKA !
  - [^] # Re: selinux
    
    Posté par NNois le 22 septembre 2017 à 14:52. Évalué à 1.
    
    Merci ça marche !!
    Par contre si j'ai bien compris la manip c'est valable que pour une execution immediate.
    
    Pensez vous qu'on puisse forcer pour de bon une appli pour qu'elle soit toujours dans ce namespace ?
    Et autre dérive… , les process lancés par cette appli elle même sont-ils dans le même namespace ?
    - [^] # Re: selinux
      
      Posté par Anonyme le 22 septembre 2017 à 19:46. Évalué à 1. Dernière modification le 22 septembre 2017 à 19:47.
      
      Pensez vous qu'on puisse forcer pour de bon une appli pour qu'elle soit toujours dans ce namespace ?
      
      Ce que tu peux faire c'est utiliser un script de lancement, que ce soit en créant un raccourci avec l'interface de ton environnement de bureau (un lanceur d'application) ou via un script sh.
  - [^] # Re: selinux
    
    Posté par NNois le 06 octobre 2017 à 10:55. Évalué à 1.
    
    Bonjour,
    En fait la methode des netspace me cause des soucis, principalement à cause du fait qu'on doit etre root…
    
    Est-il possible de creer un utilisateur qui n'as pas acces au net et de lancer les softs via son compte ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.