|
Anmeldungsdatum: Beiträge: 430 |
Hallo möchte (auf simple Art und Weise 😉 ) einem Program, wie zB. einem PDF-Viewer den Internetzugriff generell sperren. Gibts da irgendwo eine "Blacklist"? gufw ist leider schon etwas über meinem Niveau ... ebenso wie das da: https://ubuntuforums.org/showthread.php?t=1188099&s=38bf88507c7368ecb4c3c1d1ec04f09e Vielen Dank für Tips ... |
Anmeldungsdatum: Beiträge: 6036 |
firejail in Verbundung mit der Option |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 430 |
Hallo Kätzchen, Vielen dank für Deine Antwort. Kätzchen schrieb:
Möchte nichts, was ich in der Kommanozeile vorher aufrufen muss. Daher die Idee mit der Blacklist. gufw wäre deshalb super, aber ich habe keine Ahnung, was ich bei der Maske "port/protokoll" eingeben muss, wenn ich alle Protokolle oder alle ports sperren möchte. "any" geht nicht - gufw sagt dann "unbekanntes Protokoll" ☹ ... Gibts da Tips? |
|
Anmeldungsdatum: Beiträge: 6036 |
In diesem Fall wird der PDF Viewer Atril automatisch und ohne Zutun, ohne Netzwerk gestartet, egal wie er aufgerufenen wird. Ich habe ein PDF mit Link getestet. Läuft der Browser zuvor nicht wird die Offline-Nutzung beim Starten des Browsers an diesen vererbt und aus dem Browser sind gar keine Web-Seiten erreichbar. Läuft der Browser zuvor, ist die Internetseite aus dem PDF im Browser erreichbar. ~/.config/firejail Die Datei Aus dem Wikiartikel firejail: cd /usr/local/bin sudo ln -s /usr/bin/firejail atril @tux-puzzle Falls die die Lösung nicht zusagt kann ich dir nicht weiterhelfen. Dir jedenfalls danke, ich wusste gar nicht das ich ein Problem habe: System wieder ein Stück sicherer. ☺ |
|
Anmeldungsdatum: Beiträge: 14945 |
Hallo tux-puzzle, Dafür gibt es das Programm "portman" ..... Gruss Lidux |
Anmeldungsdatum: Beiträge: 2627 |
Ich mache so was mit groups. Eine ist dann eine "no-internet" Für diese "no-internet" Gruppe gibt es dann einen Eintrag in den iptables -A OUTPUT -m owner --gid-owner <GROUP_ID> -j DROP Den Benutzer, der das Programm verwenden soll das keine Internetverbindung haben soll, dann der "no-internet" Gruppe zuordnen. Und nun noch das kleine Startscript, das beim Start der jeweiligen Anwendung den Internetzugang entzieht: #!/bin/bash COMMAND="$1" shift for arg; do COMMAND="$COMMAND \"$arg\"" done sg no-internet "$COMMAND" Das als /usr/bin/ni speichern und ausführbar machen. Das Programm das kein Internetzugang haben soll dann mit vorangestellten "ni" aufrufen. PDF-Reader wäre bei mir beispielsweise das Okular: ni okular Die Wirkung ist ähnlich wie Kätzchen es mit dem firejail beschreibt. Startet man den PDF-Reader mit "no-internet" Berechtigung und klickt auf einen Link, dann öffnet sich der Firefox, kann aber keine Verbindung aufbauen, da der Firefox dann die "no-internet" Berechtigung geerbt hat. Läuft hingegen der Firefox schon vorher ohne Beschränkung, öffnet sich die Webseite. Einbauen lässt sich das "ni" dann auch direkt in die .desktop-Dateien welche die Programme starten. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 430 |
|
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 430 |
Lieber Trollsportverein
Vielen Dank fuer Deine ausführliche Antwort. Könnte man nicht direkt ein Programm in diese NI Gruppe eintragen, so dass es NIE Internet hat? Ohne script davor?! |
|
Anmeldungsdatum: Beiträge: 2627 |
Nein. Das funktioniert nicht. Kannst es selbst ausprobieren, setze die Gruppe mit chown auf das jeweilige PDF-Leseprogrammbinary und schau selbst was dann passiert. |
|
Anmeldungsdatum: Beiträge: 6036 |
Die Lösung aus 9364699 funktioniert ohne das Programm irgendwie besonders auszurufen, von der Funktion genau das was tux-puzzle will. |
|
Anmeldungsdatum: Beiträge: 14945 |
Hallo tux-puzzle, Hast du den Begriff mal in eine Suchmaschine deines geringsten Mißtrauen eingegeben .... "portmaster" Gruss Lidux |