Forum Linux.général Comment interdire par défaut, l'accès aux réseaux pour toutes les applications ?

• # si tu veux couper l'accès réseaux pour TOUTES les applications

  Posté par NeoX le 04 octobre 2019 à 12:59. Évalué à 0.

  

  ip link set eno1 down
  ip link set enp3s0 down

  et hop, plus de connexion
  bon tu peux aussi juste débrancher le câble en fait

  • [^] # Re: si tu veux couper l'accès réseaux pour TOUTES les applications

    Posté par minitchoup le 04 octobre 2019 à 14:31. Évalué à -1. Dernière modification le 04 octobre 2019 à 14:31.

    

    Non.

• # MAC

  Posté par FreeFlight le 04 octobre 2019 à 14:34. Évalué à 4.

  

  Tu veux faire du contrôle d'accès obligatoire on dirait.
  Regarde du côté de selinux.

  • [^] # Re: MAC

    Posté par minitchoup le 04 octobre 2019 à 16:43. Évalué à 2.

    

    Je ne connais pas SELinux. Un peu plus AppArmor… Dans mon exemple je parle d'Eclipse, application pour laquelle je voulais interdire tout accès au net. J'ai dû écrire un profil AppArmor pour cela… Pour moi, c'est vraiment trop compliqué. Alors que le besoin est simple !
    Maintenant, pour le cas d'Eclipse, je ne passe plus par AA. Mais bien par la commande "ip netns exec". Je pense que la solution passe par cette commande. Je creuse…

    https://manpages.debian.org/unstable/iproute2/ip-netns.8.en.html

    • [^] # Re: MAC

      Posté par deuzene (site web personnel) le 05 octobre 2019 à 12:12. Évalué à 4.

      

      Tu peux aussi regarder du côté de Firejail, plutôt une app de sandboxing mais tu peux interdire la connexion.

      « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

• # Idée de daemon

  Posté par minitchoup le 04 octobre 2019 à 18:44. Évalué à 3. Dernière modification le 04 octobre 2019 à 18:44.

  

  Voici ce à quoi j'ai pensé. Proposez-moi mieux, plus simple, de déjà existant… Partagez vos idées !

  Au lancement du service (qu'il nous faut écrire ;) :
  - changer netns de tous les processus ayant un exe dans leur proc pour NONET (aucune interface déclarée)
  - création de tous les netns nécessaires pour la configuration
  - appliquer la configuration avec un processus de surveillance :

  Fichier de configuration :

  # création des alias interface
  alias <alias if name> <interface>
  
  # affection des ns aux groupes d'applications
  grp [<parent grp name>:[<parent grp name>:[..]]]<grp name> <exe path> \
    [+<checker function> [+<checker function> [..]]] \
    [<alias if name> [<alias if name> [..]]]|IDEM \
    [LOCKDOWN]

  Exemple :

  alias local enp3s0
  alias net   eno1
  
  grp Ping              /bin/ping                                                    local net
  grp Eclipse           /usr/lib/jvm/java-8-openjdk-amd64/jre/bin/java +checkEclipse local
  grp Eclipse:Python3   /usr/bin/python3                                             local net
  grp Eclipse:Python3:* *                                                            local

  Le processus de surveillance réalise les opérations suivantes (ttes les n secondes) :

  • liste l'ensemble des processus en cours : si le processus considéré est déjà enregistré alors ne fait rien. sinon enregistre le processus :
    • recherche dans /proc/<pid>/exe et s'il le trouve récupère le chemin pointé (ex : /usr/bin/python3)
    • recherche dans les chemins en conf une correspondance non bloquée (bloquée = LOCKDOWN) et validée (tous les routines de vérification sont satisfaites comme +checkEclipse dans l'exemple) (ex : -> Eclipse:Python3)
      • la chaine des parents doit être reconstruite (ex : le processus Python possède-t-il comme parent Eclipse ? ie le PPID du processus Python appartient-il au groupe Eclipse ?) si non, alors on ne fait rien de plus si oui, alors on poursuit ainsi de suite jusqu'au premier parent. Si c'est le dernier parent qui a été considéré alors : on déplace le processus Python dans le netns correspondant.

  Si parmi la liste des processus enregistrés certains n'existent plus, alors ils sont retirés de la liste.

  • [^] # Oui mais quand est-il des processus lancés au démarrage (systemd) ?

    Posté par minitchoup le 06 octobre 2019 à 10:26. Évalué à 3.

    

    Effectivement, tant que le service NetNSAdm (celui qu'il nous faut écrire) n'a pas démarré, il faut qu'aucune application n'est droit d'accès au réseau !

    Dans le man de "ip netns" il est dit :

    By default a process inherits its network namespace from its parent. Initially all the processes share the same default network namespace from the init process.

    Ok, donc il suffirait d'imposer un nom de domaine réseau (sans accès) au processus init :
    Run a systemd unit in a specified network namespace

    La suite au prochain épisode…

    • [^] # Re: Oui mais quand est-il des processus lancés au démarrage (systemd) ?

      Posté par minitchoup le 06 octobre 2019 à 10:40. Évalué à 3.

      

      Autre méthode (peut-être) : écrire un "hook" qui se charge à la création d'un processus de le positionner dans le NetNS "NO-NET".

      Hooking sys_execve on Linux kernel 4.6 or higher

• # en plus interactif

  Posté par Psychofox (Mastodon) le 05 octobre 2019 à 12:33. Évalué à 6.

  

  En plus interactif j'irai plutôt chercher du côté de douane ou opensnitch

• # Des choses existent déjà !

  Posté par minitchoup le 05 octobre 2019 à 14:27. Évalué à 2.

  

  Merci à tous pour vos liens : firejail, douane et OpenSnitch.
  Il y a sans doute de bonnes choses à (ap)prendre.
  J’essaierai de vous faire un retour.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.