PF: Filtern nach Applikationspfaden?

kruemelmonster

Keksfreund
Hallo zusammen!

Ist es unter PF (FreeBSD 5.4) möglich, nach Applikationspfaden zu filtern? (also beispielsweise sollen nur /usr/bin/meinprogramm und /usr/bin/anderesprog ins i-netz telefonieren dürfen, alle anderen nicht). Oder geht das mit anderen Tools?

Viele Grüße
Stefan
 
AFAIK könntest du unter OpenBSD mit systrace(1) sowas machen.
Habe ich zwar noch nie, soll aber ziemlich aufwendig sein.
 
AndreasMeyer schrieb:
Es ist Sache des Administrators/root nur Programme zu installieren, denen er auch vertraut.

Vertrauen ist gut, Kontrolle ist besser ;)

Im Ernst, ich möchte nach und nach eine Default-Deny-Regel durchsetzen, und es stellt eine zusätzliche Barriere dar. Davon abgesehen kann es auch fehlerhafte Software geben, bspw. ein Bug im X-Server, der ausgenutzt wird und irgendwelche Daten sendet. Muß nicht sein, da der X-Server nicht ins Netz muß. Nur mal ein konstruiertes Beispiel...

Grüße
Stefan
 
pf kann ja auch user und groups

somit könnte man es dahingehend einschränken das nur programme die unter den allowed users laufen connections aufbauen dürfen

das ist zwar keine applikation filter, aber es könnte schon ein bissel die sache erleichtern wenn man mit boardmitteln abreiten möchte
 
bofh schrieb:
pf kann ja auch user und groups

somit könnte man es dahingehend einschränken das nur programme die unter den allowed users laufen connections aufbauen dürfen

das ist zwar keine applikation filter, aber es könnte schon ein bissel die sache erleichtern wenn man mit boardmitteln abreiten möchte

Vielen Dank für den Tipp! In den PF-Tutorials, die ich bisher gelesen hatte, wurde diese Möglichkeit dreist verschwiegen. :)

Dann könnte man theoretisch einen weiteren ("NEtz-berechtigten") user einrichten, dem die betrefefnden Applikationen suid zugeordnet werden, der Rest darf nix. sehe ich das so im Prinzip richtig oder ist da ein denkfehler drin?
EDIT: group/sgid wäre eigentlich noch sinnvoller, da dabei die User-Einstellungen erhalten bleiben. Oder?

Grüße
Stefan
 
Zuletzt bearbeitet:
soweit ich des noch weiss, schaut pf nur nach dem z.b. dann dem user unter dem das jeweilige programm in dem moment läuft.

das binary selber kann ja jemand anders gehören oder einer anderen group als die jenige unter dem es gestartet wird.
 
Zurück
Oben