Я хочу, чтобы код не делал http-соединения с другими конкретными хостами. Насколько я понимаю, это можно сделать в /etc/hosts.deny. Как это будет выглядеть?
5 ответов
1
Вы можете сопоставить имена хостов с localhost в /etc /hosts (его проще настроить, чем hosts.deny, но нет детального контроля).
Пример записи в файле hosts:
google.com 127.0.0.1
someotherdomain.com 127.0.0.1
О, кстати, этот вопрос лучше подходит для serverfault.com.
0
Нет, hosts.deny не будет этого делать. Хакерство /etc /hosts также не будет иметь никакого значения (это может привести к поломке библиотеки распознавателя, но не помешает приложению устанавливать исходящие соединения, если оно не использует стандартный преобразователь или находит адреса каким-либо другим способом).
Использование брандмауэра действительно самый очевидный способ. Для локально генерируемого трафика iptables может блокировать исходящие пакеты по идентификатору пользователя, идентификатору группы или идентификатору процесса, что означает, что вы можете ограничить его конкретными процессами. Вероятно, самый простой способ - сделать это по идентификатору пользователя и запустить его под каким-либо пользователем с ограниченными правами.
0
Хорошая разбивка файлов хоста: http://linux.about.com/od/commands/l/blcmdl5_hostsde.htm
0
Подход /etc/hosts/ является плохим, поскольку по любому адресу, на который вы перенаправляете "запрещенный хост", другой веб-сервер может прослушивать.
Если у вас есть права на запись в /etc/hosts , вы обычно являетесь пользователем root и отвечаете за настройку брандмауэра. Здесь вы должны установить правила, касающиеся исходящего трафика.
0
Ядро Linux имеет возможности брандмауэра. это, вероятно, даст вам лучшие результаты. Из вашего вопроса не ясно, хотите ли вы заблокировать все http-соединения от вашего компьютера к конкретным хостам или только к определенной программе - но при необходимости вы также можете фильтровать трафик, создавая приложение или пользователя.
Я обычно использую FireHOL, который является удобной оболочкой для основных команд настройки брандмауэра.