sudomakemeacake
Anmeldungsdatum: 7. Oktober 2018
Beiträge: 146
|
Ahoi! Wie der Titel schon sagt ... Ich habe schon hier im Forum rumgesucht, aber alles was ich gefunden habe waren entweder Aussagen wie "Ubuntu telefoniert nicht nach draußen" oder Anleitungen mit irgendwelchen Ports womit ich mich nicht auskenne. Ich wüsste auch nicht wie ich herausfinde welche Ports das Programm überhaupt benutzt. Doch worum geht es konkret? Es geht nicht um Security Paranoia oder so. Ich benutze Steam und spiele derzeit Dark Souls 2 SOFTS. Leider gibt es keine Option das Spiel auf offline zu stellen. Ich weiß ja nicht was sonst noch alles diese Ports benutzt oder ob Steam generell den selben Port für alle Spiele nutzt, daher will ich keine Ports sperren, sondern lediglich dem einzelnen Spiel den Zugriff auf das Interwebs verbieten. Geht das? Müsste eigentlich, da die Windows Firewall ja auch keine ganzen Ports, sondern die Programme selbst unterbindet. Da wird das doch unter Ubuntu sicher auch irgendwie gehen, oder?
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
sudomakemeacake schrieb: Müsste eigentlich, da die Windows Firewall ja auch keine ganzen Ports, sondern die Programme selbst unterbindet.
Nein, müsste nicht, weil es für unsere Desktop-Linux-Systeme keine Firewall gibt, wie man sie von Windows her kennt. Unter Linux gibt es nur einen Paketfilter, der auf den Layer-Ebenen 3 und 4 (also der Protokollebene) werkelt und TCP- oder UDP-Datenpakete untersuchen und irgendwas mit denen anstellen kann. Der Applikations-Layer ist aber 7, was bedeutet, dass der Paketfilter da keine Finger im Spiel hat. Wenn Du eine Anwendung vom Paketfilter überwachen lassen willst, musst Du dafür sorgen, dass die Anwendung plus allen Forks und Scripten und was sonst noch da gestartet wird, unter einem bestimmten User läuft, unter dem sonst nix läuft und dann sperrst Du den User... ne andere Möglichkeit gibts imho nicht.
https://wiki.nftables.org/wiki-nftables/index.php/Matching_packet_metainformation Das bedeutet aber nicht, dass das Programm nicht trotzdem unter einer anderen UID gestartet werden kann... von wem auch immer... manuell oder unerlaubt maschinell.
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
Wie sieht's mit AppArmor aus? Könnte das vielleicht die Anforderungen erfüllen? Ich habe damit allerdings noch gar keine Erfahrungen gesammelt und weiß gerade mal, dass es existiert. Ansonsten noch der allgemeine Hinweis, dass die Annahme, wenn es sonstwo geht, das doch auch woanders gehen MUSS, oftmals fehlerhaft ist.
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Du kannst es mit unshare versuchen. $ ping ubuntuusers.de
PING ubuntuusers.de (213.95.41.4) 56(84) bytes of data.
64 bytes from ha.ubuntu-eu.org (213.95.41.4): icmp_seq=1 ttl=57 time=22.2 ms
^C
--- ubuntuusers.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.218/22.218/22.218/0.000 ms
$ unshare --net ping ubuntuusers.de
ping: ubuntuusers.de: Temporary failure in name resolution Ob das Spiel da mitmacht steht jedoch auf einem ganz anderen Blatt...
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8628
Wohnort: Münster
|
sudomakemeacake schrieb: […] dem einzelnen Spiel den Zugriff auf das Interwebs verbieten. Geht das?
Ja, das geht. Es ist aber leider nicht einfach einzurichten. Du musst das zu isolierende Programm in einer eigenen Netzwerk-Umgebung laufen lassen und in dieser speziellen Netzwerk-Umgebung keinen Leitweg ins Internet definieren (keine default route). Das geht über Network Namespaces. Ein Patentrezept dafür kann ich Dir aber nicht anbieten.
|
Bournless
Anmeldungsdatum: 4. Mai 2019
Beiträge: 915
|
Hallo sudomakemeacake, hast Du zufällig eine Fritz!Box? Wenn ja, welches Modell, mit welcher Firmware? Fals ja, solltest Du dein Problem evtl. allein mit deren Funktionen lösen können. Internet -> Filter -> Priosierung.
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8544
|
Ich glaube das Hauptproblem liegt darin, das das eigentliche Programm ja Steam ist und Du das ja nicht vollständig sperren willst. Es würde sich evtl. doch anbieten, einen oder mehrere dieser Ports zu sperren.
|
sudomakemeacake
(Themenstarter)
Anmeldungsdatum: 7. Oktober 2018
Beiträge: 146
|
Ich habe jetzt herausgefunden wie ich Ports sperren kann, aber ich hab jetzt einen Haufen Ports gesperrt, aber Dark Souls 2 geht immer noch online. Kann man auch mehrere Ports sperren? "UDP 27000 to 27015 inclusive (Game client traffic)" Ich will die nicht alle einzeln sperren müssen. Nachtrag: Habe alle diese Ports gepserrt. Nichts.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
sudomakemeacake schrieb: Nachtrag: Habe alle diese Ports gepserrt. Nichts.
Ja, weil das auch völliger Bldösinn für den beabsichtigten Zweck des Sperrens einer Anwendung ist. Wenn Du sicher gehen willst, dass das Programm nicht ins Internet geht, gibts diese Lösung:
table inet filter {
chain input {
type filter hook input priority 0; policy drop;
}
chain output {
type filter hook output priority 0; policy drop;
}
chain forward {
type filter hook forward priority 0; policy drop;
}
}
Allerdings hättest Du damit gleichzeitig auch IPv6 abgeschossen und dem System grundsätzlich alle Ein- und Ausgang verboten... der Rechner funktioniert nicht mehr im Netz. Was Du da vorhast, funktioniert nicht über Port-Sperren, weil sich das Programm eines jeden beliebigen unprivilegierten Ports von 1024-65535 bedienen kann. Und wenn Du die alle sperrst, funktioniert halt der Rechner nicht mehr. BTW, wenn dich das Programm so beschäftigt, dann deinstalliere es doch einfach.....
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
Was mich mittlerweile interessiert: Wenn es nicht um Fragen der Sicherheit (unabhängig vom Grad der Paranoia) geht, was ist dann der Anlass für die Menge an Energie, die du in dieses Thema steckst?
|
sudomakemeacake
(Themenstarter)
Anmeldungsdatum: 7. Oktober 2018
Beiträge: 146
|
TomLu schrieb: BTW, wenn dich das Programm so beschäftigt, dann deinstalliere es doch einfach.....
Es handelt sich um ein Spiel. Wenn ich es deinstalliere, kann ich es nicht mehr spielen. 😉 Cranvil schrieb: Was mich mittlerweile interessiert: Wenn es nicht um Fragen der Sicherheit (unabhängig vom Grad der Paranoia) geht, was ist dann der Anlass für die Menge an Energie, die du in dieses Thema steckst?
Ich will das Spiel spielen, aber ich will nicht von anderen Spielern invadet werden. Man kann den Online-Modus aber nicht ausschalten.
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
Ein bisschen Recherche haben für mich das Bild ergeben, dass du hier in einer Diablo 3-Situation bist: Das Spiel braucht immer eine funktionierende Internetverbindung, selbst wenn du allein spielen willst. Darüber hinaus gibt's diese Invasionen wohl in verschiedenen Varianten: NPC-Invasionen, die sich gar nicht vermeiden lassen und PC-Invasionen, gegen die man im Spiel selbst was unternehmen kann. Laut Steam Community und Stack Exchange reicht es anscheinend für die vermeidbaren Spieler-Invasionen aus, von Zeit zu Zeit einen bestimmten Gegenstand zu verbrennen/opfern (keine Ahnung, kenne das Spiel nicht), um eben nicht mehr oder mit geringerer Wahrscheinlichkeit angegriffen zu werden. Wenn du dein Problem außerhalb des Spiels lösen willst, sieht alles danach aus, dass du entweder die Netzwerkverbindung ganz kappen musst oder dich dermaßen in die Arbeitsweise des Spiels und der verwendeten Netzwerktechnologien einarbeiten musst, dass wir dich hier die nächsten Jahre nicht mehr sehen, aber du uns dir zujubeln lässt, wenn du Facebook, Amazon, Apple und Google den Rang abgelaufen hast.
|
sudomakemeacake
(Themenstarter)
Anmeldungsdatum: 7. Oktober 2018
Beiträge: 146
|
Ja gut, dann kappe ich während dem Spielen die Internetverbindung. Blöd, dass ich wieder was gefunden hab was unter Ubuntu nicht oder nur schwer geht. -.-
|
Cranvil
Anmeldungsdatum: 9. März 2019
Beiträge: 990
|
sudomakemeacake schrieb: Ja gut, dann kappe ich während dem Spielen die Internetverbindung. Blöd, dass ich wieder was gefunden hab was unter Ubuntu nicht oder nur schwer geht. -.-
Fürs Protokoll: Klappt das unter Windows so, wie du es dir wünschst und was hast du dafür einstellen müssen? Edit: Entschuldige, wenn das etwas unfreundlich klingt, das war nicht meine Absicht.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
sudomakemeacake schrieb: Ja gut, dann kappe ich während dem Spielen die Internetverbindung. Blöd, dass ich wieder was gefunden hab was unter Ubuntu nicht oder nur schwer geht. -.-
Es ist nicht notwendig, die Internetverbindung zu kappen. Und nein, das hat überhaupt nichts mit Ubuntu zu tun, das ist eine Eigenschaft des Kernels.... und dessen Regeln gelten auch bei anderen Linux-Distributionen. Starte das Programm (autorisiert durch eine Polkit-Rule) unter einem virtuellen (unberechtigtem) User und dann kannst Du diesem User mit einer solchen einfachen Regeln den Zugang zum Internet verbieten:
table ip filter {
chain output {
type filter hook output priority 0;
skuid thomas oifname enp2s0 drop
}
}
Mit dieser Regel kann ich unter dieser UID auf meinem PC mit keinem Programm mehr über das NIC 'enps20' ins Internet. Wie sicher das ist und ob das unterlaufen werden kann...?... *hmmm*... gute Frage....meiner Meinung nach nur wieder durch einen Kontextwechsel der UID.
|