Linux-baserede operativsystemer har et stort antal beskyttelser for at afbøde angreb, forhindre optrapning af privilegier og andre meget almindelige angreb på dette operativsystem. Selvom Linux er meget sikkert, hvis det er konfigureret korrekt, bør vi ikke stoppe med at tage os af vores operativsystem fuldstændigt, da trusler fortsat eksisterer. I øjeblikket er der flere Linux-firewalls tilgængelige, som vi kan installere og bruge til at gøre vores Linux-system mere sikkert og pålideligt. I dag skal vi se et af de værktøjer, der er inkluderet i firewalls med en meget lovende fremtid, OpenSnitch.
Hvad er OpenSnitch?
OpenSnitch er en firewall applikation skrevet i Python til GNU / Linux-baserede operativsystemer, så i princippet er ethvert GNU / Linux-baseret operativsystem kompatibelt med dette program, hvilket vil tilføje ekstra sikkerhed.
OpenSnitchs driftsmetode er at kontrollere alle anmodninger om internetforbindelse fra alle applikationer, der er installeret på operativsystemet. Dette program tillader oprettelse af specifikke regler for de forskellige applikationer, som vi har installeret på vores computer eller Linux-server. Disse regler tillader eller nægter internetadgang, når de anmoder om det. Det er muligt, at et program, der ikke har oprettet en regel, forsøger at få adgang til internettet, i det øjeblik vises et tekstfelt, der giver os mulighed for at tillade forbindelsen eller nægte det uden at skulle gå så specifikt til Opret en regel for den bestemte applikation.
Andre tilgængelige indstillinger er muligheden for at gemme beslutningen som regel, så den forbliver på listen til næste gang, at et specifikt program kræver internetadgang, vi kan anvende reglen på den nøjagtige URL til det domæne, som du forsøger at nå. . Vi har også mulighed for midlertidigt at tillade det, og at når vi genstarter serveren eller computeren, forsvinder denne tilføjede regel.
Alle de regler, vi opretter i OpenSnitch, gemmes som JSON-filer (filtype, som kun OpenSnitch kan håndtere). På denne måde kan vi ændre dem senere, hvis det er nødvendigt manuelt. OpenSnitch har en meget intuitiv grafisk brugergrænseflade, som giver os mulighed for at se, hvilke applikationer der har adgang til internettet i det øjeblik, hvilken IP-adresse der bruges af udstyret, hvilken bruger der bruger både systemet og OpenSnitch selv, og hvilken port der bliver Brugt. bruger til det hele.
En anden meget nyttig mulighed, som OpenSnitch har, er at oprette en rapport i CSV-format med al information, her finder vi firewallkonfigurationen og alle de gemte applikationer.
Installation af OpenSnitch på Linux
Vi vil fortsætte med installationen af OpenSnitch, da du kan se alle de kommandoer, som vi vil bruge til installationen, er beregnet til Debian eller Ubuntu brugere, så hvis du bruger en anden distribution, bliver du nødt til at justere kommandoerne til den distribution, du har installeret på dit team.
Først installerer vi alt, hvad der er nødvendigt, så OpenSnitch kan arbejde, inklusive Go og også Git, begge er helt nødvendige for den korrekte installation, da vi ikke har Opensnitch i de officielle opbevaringssteder for de forskellige Linux-distributioner. Hvordan kunne det være ellers, bliver vi nødt til at logge ind som root i vores operativsystem eller udføre kommandoen "sudo" foran installationskommandoen gennem arkiverne. Vores anbefaling, da vi bliver nødt til at udføre flere trin og installere flere programmer, er at du logger ind med den populære “sudo su” for allerede at have superbrugertilladelser og ikke behøver at udføre “sudo” foran hver kommando.
sudo apt-get install protobuf-compiler libpcap-dev libnetfilter-queue-dev python3-pip golang git
gå og få github.com/golang/protobuf/protoc-gen-go
gå og hent -u github.com/golang/dep/cmd/dep
python3 -m pip install –bruger grpcio-værktøjer
Derefter bliver vi nødt til at klone OpenSnitch-arkivet. Ved opstart returnerer installationen sandsynligvis en besked om, at der ikke blev fundet nogen Go-filer. Vi vil ignorere denne besked, men hvis en anden angriber os og fortæller os, at vi mangler git, bliver vi nødt til at stoppe for at installere den. Som standard er “GOPATH” in / home / user / go
go get github.com/evilsocket/opensnitch
cd $ GOPATH / src / github.com / evilsocket / opensnitch
Hvis $ GOPATH miljøvariabel er ikke indstillet korrekt, får vi en fejl, der siger "denne mappe blev ikke fundet" i ovenstående kommando. For at løse dette bruger vi cd kommando for at gå til placeringen af mappen “/home/usuario/go/src/github.com/evilsocket/opensnitch”, der var i serie i systeminstallationen. Nu installerer vi det på den typiske måde:
make
sudo gør installationen
Når det er installeret korrekt, aktiverer vi det som følger:
sudo systemctl enable opensnitchd
sudo-tjeneste åbner nitchd start
opensnitch-ui
Og vi får adgang til den grafiske brugergrænseflade, hvor vi får alle de oplysninger og handlinger, vi kan udføre med dette fantastiske program.
Brug erfaring med OpenSnitch
Dette program er virkelig nyttigt til at tillade eller nægte netværkstrafikken for de forskellige applikationer, webbrowsere, FTP-klienter, programmer som Skype, Google Drev og ethvert program, der har brug for en internetforbindelse for at arbejde. Med OpenSnitch kan vi kontrollere alle forbindelser i detaljer og tillade eller nægte alt på applikationsniveau og ikke på IP-adresse eller portniveau, som det er tilfældet med den populære iptables eller nftables firewall, som Debian-baserede operativsystemer som standard har.
Det er muligt, at vi i starten har snesevis af meddelelser, der indikerer, at en applikation har forsøgt at få adgang til Internettet, dette er helt normalt i starten, fordi alle applikationer skal være specifikt tilladt i programmet, derfor vil vi have den bedst mulige sikkerhed fordi det er konfigureret i restriktiv tilstand. Som standard er alt blokeret, undtagen hvad der specifikt er tilladt i programmets firewall.
Endelig vil vi gerne indikere, at alle regler oprettet på et bestemt tidspunkt let kan eksporteres i JSON-format, importeres til et andet Linux-operativsystem, det vil sige, vi kan udføre tests lokalt eller i en virtuel maskine og senere kopiere denne JSON-fil på serveren i produktion uden at have nogen form for problem.
Takket være OpenSnitchs gode funktion vil vi være i stand til at kontrollere alle adgangene til ethvert program, vi har i vores udstyr, hvis du vil have en komplet firewall på applikationsniveau, er denne software ideel til dig.
