Meu sistema GNU/Linux transmite dados pela Internet, quer eu peça ou não. Como posso fazê-lo parar?
Por exemplo, sem perguntar, o software Firefox do meu sistema evidentemente entra em contato com o Mozilla.org em segundo plano. Da mesma forma, sem perguntar, o software GNOME do meu sistema solicita notificações de alguém pela rede. (Estes são apenas exemplos. Não estou perguntando como configurar o Firefox ou o GNOME especificamente. Em vez disso, estou perguntando como parar transmissões automáticas não autorizadas em geral.)
quero meu sistema
- para se conectar à Internet, mas
- permanecer em silêncio até que eu peça ao sistema para transmitir dados e
- transmitir dados, quando eu pedir, apenas ao meu destinatário pretendido.
Como posso fazer meu sistema parar de balbuciar?
(Para informações, minha distribuição é Debian. No entanto, usuários Debian, Fedora e Arch são igualmente bem-vindos para responder.)
Você pode 'descompartilhar' a rede para um processo e eles verão apenas o loopback. Isso pode funcionar para algum software ou se você estiver executando um software realmente não confiável. No entanto, é um pouco exagerado, o processo verá apenas algo semelhante a um loopback privado, não compartilhável.
Você pode "silenciar" muito o Firefox. Este é um bom ponto de partida. Observe que coisas como carregamento preditivo ou um adblocker verificando sua lista de sites eventualmente criarão tráfego, e o navegador nem sempre é o culpado. Além disso, qualquer página que faça XHR criará tráfego quando você achar que nada deveria estar acontecendo.
proxy de tudo, com SOCKS por exemplo, então você pode decidir quem passa. SOCKS5 fazendo DNS significa que você também pode matar o DNS da rede local, o que deve manter a maioria das coisas sob controle. Envolver os programas em que você confia com torify/tsocks faz o resto.
há algo que resolve duas coisas ao mesmo tempo: o Tor Browser (é basicamente o Firefox) oferece um proxy SOCKS5 local por padrão, então se você fizer proxy de tudo, a maior parte do tráfego passará apenas se você tiver o navegador Tor aberto. Você pode até apontar um Firefox normal (com contêineres e o que você não conseguir com o Tor) para ele. Então você "segura a chave"; se o navegador Tor não estiver aberto, ninguém poderá usar a internet (exceto tráfego baseado em DNS que você teria que bloquear com iptables ou algo parecido).
Você está procurando um firewall de aplicativo . Um em andamento é o OpenSnitch , modelado após o Little Snitch para macOS. Funciona, mas vem com isenções de responsabilidade para não apostar nisso ainda. Melhor pode ser o AppArmor muito mais maduro e difundido, um LSM que fornece mais do que apenas controle sobre o acesso à rede; ele também implementa MAC e outros recursos. (Assim, não use AppArmor e SELinux simultaneamente.) Debian 10 (Buster), 6 de julho de 2019, tem o AppArmor habilitado por padrão.