Когда дело доходит до защиты вашей системы Linux от нежелательных сетевых подключений, необходим хороший брандмауэр. Хотя большинство пользователей Linux полагаются на традиционные брандмауэры, такие как iptables, firewalls или ufw, они обычно работают на сетевом уровне и не обеспечивают детальный контроль над тем, какие приложения могут подключаться к интернету.
Здесь на помощь приходит OpenSnitch — брандмауэр приложений GNU/Linux, который позволяет контролировать исходящие соединения для каждого приложения по отдельности.
В этой статье мы рассмотрим, что такое OpenSnitch, как он помогает защитить ваш компьютер с Linux, а также расскажем о простых шагах по установке и использованию.
Что такое OpenSnitch?
OpenSnitch — это брандмауэр приложений с открытым исходным кодом для Linux, созданный по образцу популярного Little Snitch для macOS. Он отслеживает исходящие сетевые подключения и предупреждает вас всякий раз, когда программа пытается подключиться к интернету. Затем вы можете решить, разрешить или заблокировать подключение.
Зачем использовать OpenSnitch?
- Управляйте исходящими сетевыми запросами для каждого отдельного приложения.
- Посмотрите, какие приложения подключаются к каким серверам, IP-адресам и доменам.
- Полностью бесплатный, с кодом, доступным на GitHub.
- Поставляется с графическим интерфейсом для удобного управления правилами.
- Блокирует отправку данных подозрительными приложениями без вашего ведома.
В отличие от традиционных брандмауэров, которые ориентированы на входящий трафик или общие правила, OpenSnitch ориентирован на исходящие соединения и приложения, которые их генерируют, что делает его идеальным решением для пользователей, которым нужен более строгий контроль над тем, что покидает их систему.
Установка OpenSnitch в Linux
OpenSnitch официально доступен в виде пакета для многих дистрибутивов Linux, таких как Ubuntu, Debian, Fedora, Arch Linux и других.
Сначала перейдите на официальную страницу выпуска GitHub, чтобы скачать последние файлы пакетов для вашего дистрибутива:
- Для Debian/Ubuntu → файлы
.deb. - Для поиска файлов Fedora / CentOS /RHEL →
.rpm. - Для Arch Linux → использовать
sudo pacman -S opensnitch.
OpenSnitch поставляется в двух упаковках:
- Главный демон брандмауэра (opensnitch).
- Дополнительный графический интерфейс (python3-opensnitch-ui или opensnitch-ui).
Давайте разберем это по дистрибутивам:
Установите OpenSnitch на Debian и Ubuntu
После загрузки пакетов .deb (как демона, так и интерфейса) откройте терминал в папке Загрузки и выполните:
sudo apt install ./opensnitch*.deb ./python3-opensnitch-ui*.deb
Кроме того, вы можете просто дважды щёлкнуть по файлам, чтобы установить их с помощью установщика программного обеспечения вашей системы, который установит и настроит как демон брандмауэра, так и его графический интерфейс.
Установите OpenSnitch на Fedora / CentOS / RHEL
Если вы загрузили файлы .rpm, у вас есть два варианта в зависимости от вашего менеджера пакетов (yum или dnf).
sudo yum localinstall opensnitch-*.rpm opensnitch-ui*.rpm ИЛИ sudo dnf install ./opensnitch-*.rpm ./opensnitch-ui*.rpm
После установки запустите демон брандмауэра и включите его запуск при загрузке.
sudo systemctl включить --сейчас opensnitchd ИЛИ sudo systemctl включить --сейчас opensnitchd
Чтобы запустить графический интерфейс, просто введите:
opensnitch-пользовательский интерфейс
Запуск графический интерфейс OpenSnitch
Как работает OpenSnitch
После установки и запуска OpenSnitch отслеживает каждое исходящее соединение, создаваемое вашими приложениями. При первой попытке нового приложения подключиться к интернету OpenSnitch выдаст всплывающее окно с вопросом, что делать.
Вы увидите:
- Имя приложения и путь к нему.
- IP-адрес или домен, к которому он пытается подключиться.
- Используемый порт.
Тогда вы можете выбрать:
- Разрешить один раз
- Заблокируйте один раз
- Всегда позволяйте
- Всегда блокируйте
Это позволяет очень легко контролировать доступ к сети в зависимости от приложения и адресата.
Пример использования: Firefox
Предположим, вы открываете Firefox, и он пытается подключиться к Интернету.
OpenSnitch выдаст подсказку типа:
- Приложение:
/usr/lib/firefox/firefox - Пункт назначения: 93.184.216.34 (example.com)
- Порт: 443 (HTTPS)
Вы можете выбрать «Всегда разрешать», чтобы Firefox мог получать доступ к интернету без дополнительных запросов. Если вы не уверены в приложении или пункте назначения, вы можете выбрать «Заблокировать один раз» или «Всегда блокировать».
OpenSnitch Предупреждает Вас о новом доступе приложения к Интернету
Управление правилами
Правила создаются каждый раз, когда вы подтверждаете или отклоняете подключение.
Вы можете легко управлять ими в графическом интерфейсе:
- Просмотрите существующие правила.
- Отредактируйте или удалите их.
- Упорядочить по приложениям или доменам.
- Временно отключите правила или брандмауэр полностью.
OpenSnitch сохраняет эти правила в обычных текстовых файлах, поэтому при необходимости вы даже можете редактировать их вручную (обычно они находятся в /etc/opensnitch/rules/).
Заключение
OpenSnitch — это мощный инструмент, который обеспечивает недостающую в Linux функцию безопасности — возможность контролировать исходящий трафик на уровне приложений. Он имеет открытый исходный код, активно разрабатывается и работает на нескольких дистрибутивах Linux с минимальной настройкой.
Благодаря новейшей установке на основе пакетов начать работу стало проще, чем когда-либо. Независимо от того, являетесь ли вы сторонником конфиденциальности или просто хотите обеспечить безопасность своей системы, OpenSnitch предоставляет вам необходимую прозрачность и контроль.