Jump to content

Isoler une appli d'Internet


Recommended Posts

Bonsoir à tous,

Je cherche actuellement à isoler une application d'Internet. Je ne veux pas qu'elle y accède, mais seulement elle. Le reste doit pouvoir y accéder sans restriction.
Je ne vois pas trop comment faire ? Je suis obligé d'installer un pare-feu qui travaille sur la couche applicatif ou une commande simple permettrait de le faire ?

Merci à tous,
Data

Link to comment
Share on other sites

Ça fait des années qu'on attend que ce genre de firewall débarque. Sur le papier, y'a toutes les briques au niveau du noyau pour créer un firewall applicatif (cgroup&compagnie), malheureusement, c'est pas au programme (ou alors je trouve pas les infos sur les avancées d'une telle fonctionnalité). A part "conteneuriser" l'application pour bloquer l'accès réseau à celui-ci, je vois mal comment faire :(

Link to comment
Share on other sites

Bonjour,

La solution qui revient le plus souvent sur le web est de bloquer l'accès internet d'un utilisateur via iptables :

iptables -A OUTPUT -m owner --uid-owner "nom_d_utilisateur" -j DROP

(ne pas oublier de sauvegarder la règle via iptables-save >> /etc/iptables/iptables.rules)

Ajouter une ligne via visudo

votre_nom_d_user ALL=(nom_d_user_bloqué) /chemin/absolu/vers/la/commande OU ALL pour tous les commandes

Puis de lancer le programme sous cet utilisateur via sudo -u :

sudo -u nom_d_utilisateur ./programme

J'ai essayé d'améliorer cette méthode en utilisant le setuid, cependant sur certaines applications, notamment celles compilées avec gtk, refusent de se lancer, dommage, ça avait le mérite d'être bien plus simple et fonctionnant pour tous les utilisateurs.

A tester dans votre cas, la démarche est pratiquement la même (il n'y juste pas besoin de l'étape visudo / sudo ) il faut juste chown l'exe et le chmoder correctement :
 

sudo chown nom_d_utilisateur_bloqué programme

su nom_d_utilisateur_bloqué

chmod 4755 programme

Le programme devrait maintenant se lancer avec les droits de son propriétaire (attention le setuid ne fonctionne pas avec les scripts)

(Lien wikipedia vers le setuid : Setuid)

 

Link to comment
Share on other sites

  • 7 months later...

 

On 10/09/2016 at 11:13, seboss666 a écrit :

Ça fait des années qu'on attend que ce genre de firewall débarque. Sur le papier, y'a toutes les briques au niveau du noyau pour créer un firewall applicatif (cgroup&compagnie), malheureusement, c'est pas au programme (ou alors je trouve pas les infos sur les avancées d'une telle fonctionnalité). A part "conteneuriser" l'application pour bloquer l'accès réseau à celui-ci, je vois mal comment faire :(

https://github.com/google/nsjail

Ça marche pas mal 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...