[devel] firewall для приложений (was: zed is alive, baby, for now)

Arseny Maslennikov arseny на altlinux.org
Пн Июн 30 21:19:16 MSK 2025 

On Mon, Jun 30, 2025 at 09:16:00PM +0300, Arseny Maslennikov wrote:
> On Fri, Jun 20, 2025 at 08:47:44PM +0300, Denis Medvedev wrote:
> > On Fri, 20 Jun 2025 20:04:09 +0300
> > Semen Fomchenkov <armatik на altlinux.org> wrote:
> > 
> > > 
> > > 20.06.2025 19:56, Andrey Limachko пишет:
> > > > Обращение в сеть должно быть осознанным для пользователя. К
> > > > примеру, виджет погоды Gnome ни кого ни о чём не спрашивает.
> > > О каком виджете погоды GNOME вы говорите? То что в центре
> > > уведомлений, использует приложение погоды GNOME, то что можно
> > > добавить расширением тоже использует погоду GNOME. Да и странно бы
> > > было получать погоду не из интернета, так что ограничения любой
> > > работы с сетью выглядит достаточно странно, если это нужно
> > > пользователю, то пусть настраивает firewall.
> > оно ставится по умолчанию, что не дает человеку принять решение, надо
> > ему или не надо такое поведение.
> > Лучше бы ставился файрвол с возможностью добавлять исключения по 
> > попыткам приложений лезть в интернет. Тогда увидев, что приложение
> > "погода" полезло в интернет, можно было бы 
> > разрешить ему это
> > или снести это приложение
> > или протоколировать его трафик, 
> > или запретить ему выход в сеть.
> 
> nftables позволяет вешать правила на трафик, причастный сокету, который
> был открыт в сигруппе X или от UID Y. (Второе добавили в ядро для нужд
> Android.)

https://systemd.io/DESKTOP_ENVIRONMENTS/
Здесь приводят пример, как DE (её компонент, порождающий процессы) могла
бы, запуская приложение, помещать его в индивидуальную сигруппу (и
сокеты, открытые его процессами, попали бы под нужные правила).

Правда, если (когда?) популярные DE начнут так делать, то это ослабит
надёжность: повисли по какой-нибудь причине `systemd --user` или
`dbus-daemon`, и каюк; хомячок даже 'System Monitor' не запустит, чтобы
что-нибудь прибить, только перелогин + grace-период 30 секунд ему помогут.
Но это уже совсем другая история...
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20250630/ba37fefd/attachment-0001.bin>

Подробная информация о списке рассылки Devel