关于对Deepin安全性的讨论。
Tofloor
poster avatar
netzx
deepin
2017-12-10 18:21
Author
我们知道iptables对端口的控制是不区分app的。
这样只要端口开了,对所有的APP也都开了。
设想能否有绑定app的端口设置呢?
一直在找这样的linux墙。
Reply Favorite View the author
All Replies
avatar
herdde
deepin
2017-12-10 18:40
#1
本帖最后由 herdde 于 2017-12-13 22:06 编辑

有个问题,deepin普通用户可以执行reboot 、init 0不需要使用sudo,而debian是需要sudo的
Reply View the author
avatar
netzx
deepin
2017-12-10 18:44
#2
刚才试了一下,还真是这样。应该加上sudo。
Reply View the author
avatar
duanyao
deepin
2017-12-11 22:14
#3
本帖最后由 duanyao 于 2017-12-11 14:16 编辑

Linux 很多程序是用脚本或虚拟机实现的(shell、python、java、perl、node.js 等),如果只针对解释器/虚拟机设置一个规则,那也是影响一大片。其实windows也有这个问题,防火墙问你要不要允许 java.exe 访问网络,你回答什么好呢?

说到底,过去的桌面系统并没有一个统一的“应用程序(app)”的概念,无法完美实现这种粒度的控制,这是移动操作系统引入的概念。

iptables 的应用场景主要还是服务器,因为端口是被服务进程长期占用的,基本不存在被其他程序利用的问题。
Reply View the author
avatar
azs
deepin
2017-12-11 23:37
#4
  1. selinux
Copy the Code
Reply View the author
avatar
herdde
deepin
2017-12-12 22:52
#5
本帖最后由 herdde 于 2017-12-13 21:30 编辑

debian默认没有安装sudo
freebsd普通用户不能执行init 0、reboot               

Reply View the author
avatar
netzx
deepin
2017-12-16 18:44
#6
https://bbs.deepin.org/post/149931
Linux 很多程序是用脚本或虚拟机实现的(shell、python、java、perl、node.js 等),如果只针对解释器/虚拟 ...

学习了。
Reply View the author
avatar
netzx
deepin
2017-12-16 18:47
#7
不过Mac和Windows都有这样的墙。
Reply View the author
avatar
MeowSprite
deepin
2017-12-16 19:41
#8
一般来说一个端口只被一个app应用,当然也可以被复用。
要细粒度的墙的话,就试试apparmor吧
Reply View the author
avatar
shdyeu
deepin
2017-12-17 05:54
#9
真的是太有才了呢。。。
Reply View the author
avatar
netzx
deepin
2017-12-17 19:49
#10
本帖最后由 netzx 于 2017-12-17 11:55 编辑

正在研究apparmor。这款应该可以满足要求了。
Reply View the author
avatar
netzx
deepin
2017-12-17 19:57
#11
话说selinux和apparmor有什么不同?
Reply View the author
avatar
He8617439
deepin
2017-12-17 20:09
#12
我就佩服上面的有这么多不同系统的机器,应该是虚拟机吧。
Reply View the author
avatar
herdde
deepin
2017-12-17 20:14
#13
https://bbs.deepin.org/post/149931
我就佩服上面的有这么多不同系统的机器,应该是虚拟机吧。

图里写了虚拟机
Reply View the author