Как я могу предотвратить код от инициирования исходящие http соединения?
5 ответов
Вы могли отобразить имена хостов на localhost в/etc/hosts (его более легкое для установки, чем hosts.deny, но испытывает недостаток в детализированном управлении).
Запись в качестве примера в файле hosts:
google.com 127.0.0.1
someotherdomain.com 127.0.0.1
О, btw, этот вопрос лучше подходит для serverfault.com.
/etc/hosts/ подход является плохим с тех пор на любом адресе, которого Вы перенаправляете "запрещенный хост", другой веб-сервер мог бы послушать.
Если у Вас есть доступ для записи к /etc/hosts, Вы обычно - корень и также отвечающий за установку Вашего брандмауэра. Это - то, где необходимо установить правила относительно исходящего трафика.
Ядро Linux имеет возможности брандмауэра. они, вероятно, дадут Вам лучшие результаты. Не ясно от Вас вопрос, если Вы хотите заблокировать все http соединение от своей машины до определенных хостов или только определенной программы - но в случае необходимости можно также отфильтровать трафик исходным приложением или пользователем.
Я обычно использую FireHOL, который является удобной оберткой вокруг основных команд конфигурации брандмауэра.
Нет, hosts.deny не сделает этого. Ни будет взламывание/etc/hosts иметь любое значение (оно может повредить библиотеку сопоставителя, но не предотвратить приложение, устанавливающее исходящие связи, если оно не использует стандартный сопоставитель или находит адреса некоторым другим способом).
Используя брандмауэр действительно самый очевидный путь. Для локально сгенерированного трафика iptables может заблокировать исходящие пакеты идентификатором пользователя, идентификатором группы или идентификатором процесса, что означает, что можно ограничить его определенными процессами. Вероятно, самый легкий путь состоит в том, чтобы сделать это идентификатором пользователя и выполнить его при некотором ограниченном пользователе.