Torna indietro   Hardware Upgrade Forum > Software > Linux, Unix, OS alternativi > Linux per newbies

Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
Apple MacBook Air M3: chi deve davvero comprarlo? La recensione
A distanza di circa 8 mesi arriva l’importante aggiornamento dei MacBook Air: nessun cambiamento estetico, ma una revisione hardware interna con l’upgrade al processore M3. Le prestazioni migliorano rispetto alle generazioni precedenti, e questo fa sorgere una domanda spontanea: a chi è rivolto oggi questo laptop? Cerchiamo di capirlo nella nostra recensione 
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono
Da ASUS un monitor particolare ma molto completo: principalmente indirizzato al videogiocatore, può essere sfruttato con efficacia anche per attività creative e di produzione multimediale
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza
Il nuovo robot aspirapolvere domestico di Dreame abbina funzionalità complete a un moccio flottante che raggiunge al meglio gli angoli delle pareti. Un prodotto tutto in uno semplice da utilizzare ma molto efficace, in grado di rispondere al meglio alle necessità di pulizia della casa
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 25-06-2022, 21:20   #1
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
configurazione firewall (qualunque distro)

Salve, mi domandavo se in ambiente linux ci fosse una configurazione di iptables o altro per bloccare tutto il traffico in uscita ad esclusione di alcuni programmi scelti da me.
quindi non protocollo, porta, ip ecc. ma tipo esce solo firefox, thunderbird e il sistema per l'accesso alla rete e nulla altro magari loggando anche le richieste di connessione verso l'esterno in modo da sapere chi e dove voleva comunicare.
Cioè come si fa ad evitare che script, o programmi sconosciuti nel tuo profilo utente (magari scaricati per errore ) comunichino all'insaputa all'esterno chissà cosa?
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 28-06-2022, 10:47   #2
sacarde
Senior Member
 
Iscritto dal: Apr 2004
Messaggi: 9516
letture:

https://wiki.ubuntu-it.org/Sicurezza...ll/Connessioni

https://wiki.ubuntu-it.org/Sicurezza/Iptables
sacarde è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2022, 09:30   #3
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
Grazie della risposta ma forse non mi sono spiegato bene... non intendo la configurazione di un packet filtering che presuppone la conoscenza del programma / protocollo /range di porte..
intendo qualcosa che permetta di decidere a prescindere 1 2 10 programmi noti che possono uscire in rete e il resto è come se fosse il cavo scollegato

esempi volutamente stupidi:
hai due programmi di posta elettronica /browser, uno non lo puoi disistallare perchè integrato nell'ambiente grafico, vuoi usarne un altro e vuoi essere sicuro che solo il programma che hai scelto tu possa mandare e ricevere posta e nulla altro..

un malware nella tua home dentro un pdf o dove volete voi, si esegue da solo o lo esegui per errore e si collega a internet e scarica altro o fornisce info rubate.... col packet filtering come lo blocchi prima.....
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2022, 10:56   #4
sacarde
Senior Member
 
Iscritto dal: Apr 2004
Messaggi: 9516
io non ho mai usato, potrebbe fare al caso tuo?


https://wiki.ubuntu-it.org/Sicurezza/Gufw
sacarde è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2022, 12:12   #5
marcram
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 3903
Si chiamano "application firewall".
Tipo OpenSnitch o Douane.

Se usi dei flatpak, puoi anche usare Flatseal per dare il permesso di accesso alla rete alle varie app, come su android.
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2022, 15:30   #6
dirac_sea
Senior Member
 
L'Avatar di dirac_sea
 
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1236
Quote:
Originariamente inviato da sacarde Guarda i messaggi
io non ho mai usato, potrebbe fare al caso tuo?


https://wiki.ubuntu-it.org/Sicurezza/Gufw
Qui dà qualche informazione in più...

https://help.ubuntu.com/community/Gufw

A parte che, nel leggere la richiesta iniziale dell'utente h7_25, il primo pensiero che ho avuto è stato che la domanda era nata, probabilmente, in un contesto di confusione e preconcetti sull'argomento, e da un consolidato background in ambiente Windows.

Mi sono chiesto perché l'utente sia preoccupato dal traffico in uscita da parte di un sistema Linux e dei suoi applicativi, specialmente nel caso in cui non stia eseguendo software proprietario ma open source... e perché tema che software o script scaricati per errore (solo scaricati, e non già compilati od installati da lui autenticandosi come root) facciano qualcosa a sua insaputa.

Insomma, per me è proprio come è partita la discussione che non va bene... se mette l'intero pc in "nega tutto in uscita", significa che dovrà crearsi una white list chilometrica, con molteplici inutili rogne e necessità di notevole competenza solo per avere il sistema decentemente funzionante. Il tutto a che pro, su un sistema desktop? Meglio allora usare una di quelle distribuzioni live-usb ad orientamento paranoico con persistenza per quei pochi programmi che vorrà adoperare (browser, posta, torrent) . O no?
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 19.4_x64 Xfce
Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 8.1 64 bit
NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded
dirac_sea è offline   Rispondi citando il messaggio o parte di esso
Old 29-06-2022, 19:20   #7
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
Dunque gufw è il frontend grafico di ufw che peraltro non fa altro che che scrivere regole in iptables e le carica ad ogni avvio senza utilizzare il pacchetto iptables-persistent.
il firewall è funzionale (iptables), l'interfaccia è fatta male secondo me perchè la tab "registra" dà informazioni inutili tipo "rinominato profilo home in casa", la tab regole non fa vedere le regole (tutte) del firewall (sudo iptables -L -v), la tab report indica solo alcune connessioni (cups, chrome) ma ad esempio fai partire yt-dlp e scarichi 1giga e li non c'è traccia... lo vedi però con il comando netstat...
gufw.. lasciamo perdere... usiamo direttamente ufw e controlliamo iptables...

andiamo al dunque, vorrei abbandonare definitivamente windows ma ci sono alcune cose che non mi convincono pienamente in linux:

chi garantisce che i pacchetti deb rpm distribuiti compilati siano effettivamente il prodotto della compilazione del codice pubblicato dallo sviluppatore e che non possa esistere un codice"pulito" e uno con qualche aggiunta? ce ne accorgiamo dopo dai log, no?
vogliamo credere che in una distro con 80000 pacchetti e per ogni aggiornamento di essi c'è chi riceve il sorgente dai vari sviluppatori lo legge tutto lo approva lo compila lui della distro e lo distribuisce.... anche i programmini più marginali? miliardi di righe di codice da leggere e capire... io non ci credo..
quanti pacchetti ci sono installati di default? chi puo' garantire per ognuno di essi? se ho dubbi e prendo il sorgente pubblico compilo io si generano pacchetti confrontabili per hash col distribuito in precedenza?
programmi che hanno i permessi di scrittura nella home dell'utente non possono aggiungere tipo "rm -Rf /home/xx >> .bashrc"? o tanti altri esempi + utili e divertenti?
che poi il malware possa danneggiare il sistema solo da root mi interessa poco perchè il lavoro che c'è nella home vale + di 1000 installazioni
il mio concetto di sicurezza è connessioni in ingresso stealth, nessuna risposta
connessioni in uscita solo sistema e il minimo dei programmi indispensabili e non dare nulla per scontato (i virus non possono fare nulla, il firewall se non hai servizi in ascolto non serve...)
in ambiente windows questa configurazione è possibile, in linux in tanti dicono che non serve

opensnitch va effettivamente nella direzione che dico io però è una pre-release, sicuramente instabile, i pacchetti che scarichi non hanno un hash dichiarato e verificabile... da seguire comunque grazie

Ultima modifica di h7_25 : 29-06-2022 alle 21:27. Motivo: aggiunta commento sw
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 30-06-2022, 12:22   #8
dirac_sea
Senior Member
 
L'Avatar di dirac_sea
 
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1236
Quote:
Originariamente inviato da h7_25 Guarda i messaggi
Dunque gufw è il frontend grafico di ufw che peraltro non fa altro che che scrivere regole in iptables e le carica ad ogni avvio senza utilizzare il pacchetto iptables-persistent.
il firewall è funzionale (iptables), l'interfaccia è fatta male secondo me perchè la tab "registra" dà informazioni inutili tipo "rinominato profilo home in casa", la tab regole non fa vedere le regole (tutte) del firewall (sudo iptables -L -v), la tab report indica solo alcune connessioni (cups, chrome) ma ad esempio fai partire yt-dlp e scarichi 1giga e li non c'è traccia... lo vedi però con il comando netstat...
gufw.. lasciamo perdere... usiamo direttamente ufw e controlliamo iptables...

andiamo al dunque, vorrei abbandonare definitivamente windows ma ci sono alcune cose che non mi convincono pienamente in linux:

chi garantisce che i pacchetti deb rpm distribuiti compilati siano effettivamente il prodotto della compilazione del codice pubblicato dallo sviluppatore e che non possa esistere un codice"pulito" e uno con qualche aggiunta? ce ne accorgiamo dopo dai log, no?
vogliamo credere che in una distro con 80000 pacchetti e per ogni aggiornamento di essi c'è chi riceve il sorgente dai vari sviluppatori lo legge tutto lo approva lo compila lui della distro e lo distribuisce.... anche i programmini più marginali? miliardi di righe di codice da leggere e capire... io non ci credo..
quanti pacchetti ci sono installati di default? chi puo' garantire per ognuno di essi? se ho dubbi e prendo il sorgente pubblico compilo io si generano pacchetti confrontabili per hash col distribuito in precedenza?
programmi che hanno i permessi di scrittura nella home dell'utente non possono aggiungere tipo "rm -Rf /home/xx >> .bashrc"? o tanti altri esempi + utili e divertenti?
che poi il malware possa danneggiare il sistema solo da root mi interessa poco perchè il lavoro che c'è nella home vale + di 1000 installazioni
il mio concetto di sicurezza è connessioni in ingresso stealth, nessuna risposta
connessioni in uscita solo sistema e il minimo dei programmi indispensabili e non dare nulla per scontato (i virus non possono fare nulla, il firewall se non hai servizi in ascolto non serve...)
in ambiente windows questa configurazione è possibile, in linux in tanti dicono che non serve

opensnitch va effettivamente nella direzione che dico io però è una pre-release, sicuramente instabile, i pacchetti che scarichi non hanno un hash dichiarato e verificabile... da seguire comunque grazie
Mah, ognuno si diverte come vuole, questo non è in discussione, però visto che non stai gestendo un server Linux in una situazione critica, ma vuoi utilizzarlo su un sistema desktop, mi domando a che pro.
Cioè, arrivi da un sistema operativo che notoriamente e acclaratamente è uno spyware che raccoglie e opera telemetria della tua attività, e dispone di backdoor in ossequio alle leggi statunitensi, e non sei convinto pienamente di Linux?
Ti poni il dubbio che software protetto dalla licenza GPL, di cui sono disponibili i sorgenti e che dunque puoi pure compilarti (e che se possedessi le competenze necessarie potresti controllare e modificare da solo), possa "fregarti" inviando dati a tua insaputa? Puoi anche passare le serate leggendo i log di iptables, di netstat e compagnia bella, ma mi sembra un esercizio fine a se stesso, se alla fine hai Linux installato sul portatile personale (come il sottoscritto).
Fosse un genuino desiderio di imparare (però dal messaggio non sembrerebbe), sarebbe lodevole, ma così vedo solo preoccupazioni eccessive... per un utente normale, intendo... un utente che usa una connessione ad IP dinamico, che adopera un router commerciale, che deve navigare, leggersi la posta, scaricare qualcosa e poco più.
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 19.4_x64 Xfce
Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 8.1 64 bit
NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded
dirac_sea è offline   Rispondi citando il messaggio o parte di esso
Old 01-07-2022, 17:33   #9
vampirodolce1
Senior Member
 
L'Avatar di vampirodolce1
 
Iscritto dal: Jul 2006
Messaggi: 1172
Quote:
Originariamente inviato da dirac_sea Guarda i messaggi
A parte che, nel leggere la richiesta iniziale dell'utente h7_25, il primo pensiero che ho avuto è stato che la domanda era nata, probabilmente, in un contesto di confusione e preconcetti sull'argomento, e da un consolidato background in ambiente Windows.

Mi sono chiesto perché l'utente sia preoccupato dal traffico in uscita da parte di un sistema Linux e dei suoi applicativi, specialmente nel caso in cui non stia eseguendo software proprietario ma open source... e perché tema che software o script scaricati per errore (solo scaricati, e non già compilati od installati da lui autenticandosi come root) facciano qualcosa a sua insaputa.

Insomma, per me è proprio come è partita la discussione che non va bene... se mette l'intero pc in "nega tutto in uscita", significa che dovrà crearsi una white list chilometrica, con molteplici inutili rogne e necessità di notevole competenza solo per avere il sistema decentemente funzionante. Il tutto a che pro, su un sistema desktop? Meglio allora usare una di quelle distribuzioni live-usb ad orientamento paranoico con persistenza per quei pochi programmi che vorrà adoperare (browser, posta, torrent) . O no?
Scusa ma non e' proprio cosi': nessuno dubita della bonta' del software installato, il problema e' che ci sono malware per linux che esfiltrano i dati prima di cifrarli e li caricano su server remoti. Basta leggere bleepingcomputer e ci sono report di malware tutti i giorni; d'accordo che la maggioranza sono per Windows client e server, ma c'e' anche roba per Android e Linux, per i quali non si deve abbassare la guardia, ne' tantomeno stare sugli allori.

Per rispondere alla domanda del topic, la cosa piu' ovvia sarebbe appunto mettere tutto in blacklist tranne quei 10 (e non la lista infinita che dici tu) programmi a cui serve internet: client di posta, browser, ping, SSH client e server e poco altro. Tutto il resto non deve avere accesso ad internet. In Android questo io lo posso fare in maniera semplice anche se non sono root, gestendo applicazione per applicazione e con la modalita' "blacklist" attiva di default; con questo, se voglio, blocco anche il traffico dei google play services. Quando usavo Windows questo tipo di setup era la norma per me.

Va detto che Linux non e' come Windows, in cui la scheda di rete e' sempre in attivita' e non si sa mai dove si connette e cosa sta trasferendo; in Linux ho provato tante volte con lo sniffer e confermo che, come dici tu, a meno che non sei proprio tu a fare qualcosa, non c'e' alcun traffico di rete.
Stessa cosa per l'hard disk, in Windows e' sempre li' a frullare, in Linux in confronto e' praticamente sempre fermo.

Ma ribadisco, non e' che non mi fido di chi ha scritto /bin/ls e non e' che se uno vuole riproporre su linux quello che fa per altri sistemi operativi deve passare da ritardato, il punto e' che anche i dispositivi linux e in particolare i server sono vulnerabili e vengono attaccati e infettati da malware; ultimamente vanno molto di moda quelli per VMWare, perche' in un colpo solo cifrano tutte le macchine virtuali configurate.

Per metterci una pezza posso andare sui report pubblicati dalle societa' di sicurezza o case antivirus, prendere la lista degli IP relativi ai server command and control degli attaccanti e metterli in blacklist sul firewall o in /etc/hosts.

Un'altra cosa che posso fare e' gestire al meglio i permessi, rimuovendo l'esecuzione dalla cartella /home, /tmp, ecc. tramite opzione di montaggio noexec; posso rimuovere i permessi di scrittura da /bin, /sbin per gli utenti non root; posso usare un sistema di controllo dell'integrita' dei files quale tripwire, che verifica cartella per cartella se i files al suo interno sono stati modificati (pensiamo ad esempio agli eseguibili di /bin o /sbin); posso imporre restrizioni ai processi, per cui nel mio caso "/usr/local/bin/firefox" e "/usr/local/bin/firefox-bin" non hanno accesso per esempio al file /etc/passwd o al mio desktop, ma possono leggere e scrivere solo all'interno del mio profilo ~/.mozilla/ (questo l'ho fatto con apparmor) e poco altro, ad esempio possono accedere al file /etc/hosts; posso restringere la superficie d'attacco disabilitando quanti piu' servizi possibili per chiudere le rispettive porte aperte; posso mettere siti di phishing e malware in /etc/hosts; posso configurare applicazione per applicazione e servizio per servizio in maniera restrittiva andandomi a leggere la documentazione; ecc. ecc.

Certo un firewall che blocchi il traffico per processo sarebbe una cosa molto piu' semplice... qualcosa per iptables c'e', la pagina man dice:

Quote:
owner

This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match.
--uid-owner userid
Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
Matches if the packet was created by a process in the given session group.
--cmd-owner name
Matches if the packet was created by a process with the given command name. (this option is present only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP
__________________
Enermax Staray CS-046 ECA3170-BL, Cooler Master RS-700-AMBA-D3, ASUS P6X58D-E, Core i7 950, Kingston 6GB DDR3 1600 HyperX, Gainward GTX 460 1GB GS, LG BH10LS30, 1TB WD1002FAEX, 2TB WD20EARS, 3TB WD30EZRX, 4TB WD40EFRX, 2x2TB WDBAAU0020HBK, Samsung SCX-3200, Netgear DGN2200
[Debian 7.0 Wheezy] Installazione, consigli e trucchi

Ultima modifica di vampirodolce1 : 01-07-2022 alle 17:37.
vampirodolce1 è offline   Rispondi citando il messaggio o parte di esso
Old 01-07-2022, 19:47   #10
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
Quote:
Originariamente inviato da vampirodolce1 Guarda i messaggi
Scusa ma non e' proprio cosi': nessuno dubita della bonta' del software installato, il problema e' che ci sono malware per linux che esfiltrano i dati prima di cifrarli e li caricano su server remoti. Basta leggere bleepingcomputer e ci sono report di malware tutti i giorni; d'accordo che la maggioranza sono per Windows client e server, ma c'e' anche roba per Android e Linux, per i quali non si deve abbassare la guardia, ne' tantomeno stare sugli allori.

Per rispondere alla domanda del topic, la cosa piu' ovvia sarebbe appunto mettere tutto in blacklist tranne quei 10 (e non la lista infinita che dici tu) programmi a cui serve internet: client di posta, browser, ping, SSH client e server e poco altro. Tutto il resto non deve avere accesso ad internet. In Android questo io lo posso fare in maniera semplice anche se non sono root, gestendo applicazione per applicazione e con la modalita' "blacklist" attiva di default; con questo, se voglio, blocco anche il traffico dei google play services. Quando usavo Windows questo tipo di setup era la norma per me.

Va detto che Linux non e' come Windows, in cui la scheda di rete e' sempre in attivita' e non si sa mai dove si connette e cosa sta trasferendo; in Linux ho provato tante volte con lo sniffer e confermo che, come dici tu, a meno che non sei proprio tu a fare qualcosa, non c'e' alcun traffico di rete.
Stessa cosa per l'hard disk, in Windows e' sempre li' a frullare, in Linux in confronto e' praticamente sempre fermo.

Ma ribadisco, non e' che non mi fido di chi ha scritto /bin/ls e non e' che se uno vuole riproporre su linux quello che fa per altri sistemi operativi deve passare da ritardato, il punto e' che anche i dispositivi linux e in particolare i server sono vulnerabili e vengono attaccati e infettati da malware; ultimamente vanno molto di moda quelli per VMWare, perche' in un colpo solo cifrano tutte le macchine virtuali configurate.

Per metterci una pezza posso andare sui report pubblicati dalle societa' di sicurezza o case antivirus, prendere la lista degli IP relativi ai server command and control degli attaccanti e metterli in blacklist sul firewall o in /etc/hosts.

Un'altra cosa che posso fare e' gestire al meglio i permessi, rimuovendo l'esecuzione dalla cartella /home, /tmp, ecc. tramite opzione di montaggio noexec; posso rimuovere i permessi di scrittura da /bin, /sbin per gli utenti non root; posso usare un sistema di controllo dell'integrita' dei files quale tripwire, che verifica cartella per cartella se i files al suo interno sono stati modificati (pensiamo ad esempio agli eseguibili di /bin o /sbin); posso imporre restrizioni ai processi, per cui nel mio caso "/usr/local/bin/firefox" e "/usr/local/bin/firefox-bin" non hanno accesso per esempio al file /etc/passwd o al mio desktop, ma possono leggere e scrivere solo all'interno del mio profilo ~/.mozilla/ (questo l'ho fatto con apparmor) e poco altro, ad esempio possono accedere al file /etc/hosts; posso restringere la superficie d'attacco disabilitando quanti piu' servizi possibili per chiudere le rispettive porte aperte; posso mettere siti di phishing e malware in /etc/hosts; posso configurare applicazione per applicazione e servizio per servizio in maniera restrittiva andandomi a leggere la documentazione; ecc. ecc.

Certo un firewall che blocchi il traffico per processo sarebbe una cosa molto piu' semplice... qualcosa per iptables c'e', la pagina man dice:
in larga parte mi hai tolto le parole di bocca...
il punto che tutto il software è buggato anche se in buona fede, gli hacker vanno a leggersi appunto i sorgenti per creare exploit ad hoc...
circola notizia di un bug che consente la privilege escalation in locale che è noto dal 2009
crediamo ancora alla favoletta che si risolvono i bug prima e meglio, tutti quanti assieme?
proprio oggi mi sono accorto di un bug dell'applicazione dischi di gnome, cioè se inserisci una chiavetta senza tabella di partizione, dal menu in alto scegli formatta partizione e completi la procedura guidata con successo (secondo il programma..) non hai in realtà fatto nulla....ma non lo vede il programma che non c'è nemmeno una partizione da formattare..proprio l'abc del funzionamento logico del programma.. se invece usi le icone in basso crei prima la partizione poi la formatti ed è ok..
qui non si tratta di temere la backdoor che consente alle autorità di fare chissà cosa per questioni di sicurezza nazionale o comunicare dati statistici di utilizzo telemetria ecc. per consentire ai giornali di dire quante ore passiamo nei siti porno..
qui si tratta di impedire a prescindere di lasciare tutto aperto a 360° perchè tanto è un pc desktop che siccome è desktop lo uso solo per leggere il volantino del discount...
quello che mi stupisce del mondo linux è non aver prodotto un application firewall integrato nelle distro per gestire facilmente i permessi di accesso alla rete in uscita per utente e per applicazione bloccando di default tutto quello che è ignoto ....a prescindere
tutte soluzioni complesse e che possono dare risultati solo solo se ti fai un mazzo tanto
tripwire.. ok però poi devi andare a vedere tu esattamente cosa chi come e perchè ha modificato certi file
iptables non fa scegliere un programma si e uno no sulla stessa porta o protocollo
programmi firewall e security a pagamento? solo per server e a prezzi che... lasciamo perdere
la home in partizione montata noexec .. funziona ni ... su alcune distro vengono eseguiti comunque con bash nomescript
non è mia intenzione aprire uno scontro tra linee di pensiero diverse,per cui chiudo qui,
in conclusione mi sembra di dover prendere atto che la domanda di apertura del thread non può avere una risposta...

Ultima modifica di h7_25 : 01-07-2022 alle 19:54.
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 01-07-2022, 22:58   #11
dirac_sea
Senior Member
 
L'Avatar di dirac_sea
 
Iscritto dal: Aug 2008
Città: Lat.: 45° 42′ 15′′ N Long.: 9° 35′ 15′′ E
Messaggi: 1236
Quote:
Originariamente inviato da h7_25 Guarda i messaggi
... [cut]
non è mia intenzione aprire uno scontro tra linee di pensiero diverse,per cui chiudo qui,
in conclusione mi sembra di dover prendere atto che la domanda di apertura del thread non può avere una risposta...
No, affatto. Qui su HWU persone esperte (io non mi metto nel mazzo) in grado di dare il loro contributo a temi come questi ci sono, solo che spesso restano silenti: occorre che il thread prenda una determinata piega perché facciano la loro comparsa. Con i miei interventi speravo proprio che questi utenti esprimessero la loro opinione. Uno di loro (vampirodolce1) lo ha già fatto, sarebbe un peccato considerare già chiusa la discussione.
__________________
Ultrabook: Lenovo ThinkPad X220 - 8GB ddr3, Intel i5 2520M, ssd S3+ 240GB, OS MX-Linux 19.4_x64 Xfce
Subnotebook: Sony Vaio VPC-YB1S1E - 8GB ddr3, AMD E-350, ssd OCZ Trion 100 120GB, OS Windows 8.1 64 bit
NAS: Foxconn R30-A1 - Barebone SFF - AMD E-350, 4GB ddr3, hdd 4TB WD40EFRX, OS XigmaNAS 11.4.04 x64-embedded
dirac_sea è offline   Rispondi citando il messaggio o parte di esso
Old 02-07-2022, 00:07   #12
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
OT
rettifico la descrizione del bug su gnome dischi
a dire il vero è la traduzione in italiano (??) ad essere sbagliata il comando formatta disco intende "crea tabella di partizione" ed esegue proprio quello e non fa nulla altro non formatta nulla
/OT
stanotte dormiremo più tranquilli

forse si può avvicinarsi all'obiettivo creando un gruppo che non ha i permessi sulle interfacce di rete e assegnare i permessi del gruppo ai programmi che si vuole bloccare però mi sembra complesso e forse non funziona boh
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 02-07-2022, 09:02   #13
marcram
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 3903
Quindi Opensnitch e Douane non ti vanno bene?
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 02-07-2022, 11:02   #14
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
Quote:
Originariamente inviato da marcram Guarda i messaggi
Quindi Opensnitch e Douane non ti vanno bene?
su opensnitch ho espresso il mio pensiero poco sopra
su douane faccio una domanda rivolta a tutti: installereste un programma che dovrebbe regolamentare anche le applicazioni di sistema e non solo se dalla pagina di download vedi questo avviso? e poi magari usi il pc per fare un bonifico...

Codice:
Download
Warning: unfortunately the project is suffering of a kernel freeze bug that can break your machine!

You can follow the bug resolution from this issue.
Have a look at the Roadmap to see when this issue should be fixed!
The current version is 0.8.2.

douane-installer (Recommended)
The Douane architecture is a puzzle, on purpose, in order to allow Douane to fit in the giant Linux ecosystem.
buona fortuna allo sviluppatore magari ne riparliamo tra un po' per il momento mi astengo dal fare da beta tester aggratis
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 02-07-2022, 14:08   #15
marcram
Senior Member
 
Iscritto dal: Jul 2008
Messaggi: 3903
Quote:
Originariamente inviato da h7_25 Guarda i messaggi
su opensnitch ho espresso il mio pensiero poco sopra
Non l'avevo visto, anche perché è stato aggiunto dopo...
Quote:
Originariamente inviato da h7_25 Guarda i messaggi
opensnitch va effettivamente nella direzione che dico io però è una pre-release, sicuramente instabile, i pacchetti che scarichi non hanno un hash dichiarato e verificabile... da seguire comunque grazie
Sì, l'ultima versione è attualmente in pre-release... Basta usare la versione precedente, che è stabile!
Tra gli asset ci sono anche gli hash delle build...
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 02-07-2022, 16:03   #16
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
installato l'ultima versione opensnitch in ambiente di test linuxmint 20.3
ha già beccato vlc che nonostante ho tolto il flag di accedere alla rete per per cercare i metadati ha comunque chiesto l'accesso appena ho avviato un filmato...

Vediamo..
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 03-07-2022, 23:36   #17
Perseverance
Senior Member
 
L'Avatar di Perseverance
 
Iscritto dal: Jul 2008
Messaggi: 7855
Purtroppo linux pecca per la grave carenza di un application firewall, tutt'oggi assente sotto qualsiasi forma anche a pagamento. Ci sono quei progetti che hai visto, in beta perenne o morti. Anni fa speravo che Comodo dopo aver fatto il porting su linux del suo antivirus facesse pure il porting del firewall, ma ancora non c'è niente.

Certe cose sono risolvibili usando SELinux o AppArmor, altre no. Per quello che devi fare te, cercando una maniera semplice, si potrebbe pensare ad un proxy che gira in locale. Tutto il traffico in uscita di default viene droppato da iptables mentre viene autorizzato solo il traffico verso il proxy su localhost (eventualmente con login\password). In questa maniera le applicazioni che non hanno impostato quel proxy non potranno accedere ad internet.

Che ne pensi?
__________________
System Failure

Ultima modifica di Perseverance : 03-07-2022 alle 23:39.
Perseverance è offline   Rispondi citando il messaggio o parte di esso
Old 04-07-2022, 16:30   #18
h7_25
Junior Member
 
Iscritto dal: Jun 2022
Messaggi: 10
si non è una cattiva idea, specie se ci metti login e password , ad ingegnarsi, si puo anche arrivare a delle soluzioni accettabili ,forse un pò empirico.. diciamo, il punto è che sembra che per certi versi lo sviluppo di linux sia gestito dall' "ufficio complicazione cose semplici" e da quello per cui conta solo il lato server e per il resto per i desktop basta riempirli di colori, effetti e icone

Io purtroppo dalla prima distro che ho usato (mandrake7) ho visto solo questo, da 4 o 5 desktop grafici ad oltre 30 di oggi, poi se vuoi un application firewall sotto il tuo controllo ...scopri che non esiste solo perchè i più ti ripetono come un mantra che non serve..

Un esempio, sto utilizzando anche una Fedora36 nuova nuova.. all'avvio trovi solo firewalld-cmd, la gui puoi scegliere di installarla solo dopo se vuoi, molti utenti secondo me non sapranno nemmeno di avere un firewall (ma tanto che importa, non è un server)
Firewalld In ogni caso non consente di usare iptables perchè va in conflitto, mentre permette solo di configurare il traffico verso servizi che decidi di rendere disponibili tu cioè fare da server, per di più è difficilissimo impostare regole manuali con impostazioni nascoste da abilitare e trovi su tutti i profili abilitato ssh in ingresso come se fosse un "must"... ma chissesefrega, se non ho un server da amministrare in remoto...
Non ho approfondito + di tanto il funzionamento del programma perchè mi sono inca**ato subito non riuscendo a capire subito se il traffico in ingresso viene comunque bloccato o no visto che da iptables -L risulta tutto "allow"
Bene, ho eliminato firewalld e servizio con buona pace del programmatore e ci ho rimesso iptables scrivendo regole a mano
Lo sviluppatore del software lo ha dichiarato chiaramente che al momento il suo programma non consente facilmente di scrivere regole personalizzate per gestire il traffico outgoing (questo 7 anni fa, ad oggi è ancora così )



Ho testato il firewall opensnitch e devo dire che è come me lo aspettavo.. un buon punto di partenza, alcune funzionalità non sono ancora implementate, buon programma ma a mio avviso acerbo e inaffidabile, poi è un fork di un progetto abbandonato.. questo quanto resiste?

Inoltre secondo me un programma di questo tipo dovrebbe essere inserito e garantito (per autenticità, stabilità, lettura e controllo dei sorgenti, ecc.) dalle varie distro....

Ultima modifica di h7_25 : 04-07-2022 alle 16:48.
h7_25 è offline   Rispondi citando il messaggio o parte di esso
Old 09-08-2022, 15:12   #19
Perseverance
Senior Member
 
L'Avatar di Perseverance
 
Iscritto dal: Jul 2008
Messaggi: 7855
Ti è mai capitato di imbatterti in Safing.io ? L'ho trovato per caso, il software sembra molto avanzato e con un'interfaccia professionale e permette di definire regole per applicazione oltre ad altre funzioni.

Se lo provi poi fammi sapere.
__________________
System Failure
Perseverance è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Apple MacBook Air M3: chi deve davvero comprarlo? La recensione Apple MacBook Air M3: chi deve davvero comprarlo...
ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ultrawide si fondono ASUS ROG Swift OLED PG49WCD: quando QD-OLED e ul...
Dreame L10s Pro Ultra Heat: la pulizia di casa tutta sostanza Dreame L10s Pro Ultra Heat: la pulizia di casa t...
HONOR Magic6 Pro: come funziona Magic Portal, il modo ''intelligente'' di condividere HONOR Magic6 Pro: come funziona Magic Portal, il...
L'innovazione richiede fiducia: Workday si propone come guida nell'era dell'IA L'innovazione richiede fiducia: Workday si propo...
Italia strategica per Oracle. Arriva la ...
Sam-Bankman Fried: 25 anni di reclusione...
Mobility Analytics di WINDTRE Business p...
Il lander lunare JAXA SLIM si è r...
Warframe conquista l'iPhone: senza soluz...
Marvel Rivals!, l'inaspettato shooter Pv...
Twitch aggiorna le linee guida sui conte...
Galaxy M55 ufficiale: la nuova fascia me...
Google corregge sette vulnerabilit&agrav...
IA: le imprese italiane sono in prima li...
Garmin Dash Cam 57: un'alleata perfetta ...
Elgato Facecam MK2: come rendere ancora ...
2 iRobot Roomba al prezzo più sco...
La tua connessione in fibra ottica potre...
Il controller DualSense per PS5 con un p...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 19:23.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Served by www3v