Journal OpenSnitch

Posté par tetraf le 05 mai 2017 à 17:54. Licence CC By‑SA.

Étiquettes :

mai

2017

OpenSnitch est une tentative de production d'un pare-feu applicatif libre (GPL3) pour les distributions de Linux.

Capture d'écran

Cette initiative est toute récente puisque les premiers fichiers ont été déposés le 16 avril dans le dépôt. Il reste encore beaucoup de travail mais un certain engouement s'est développé et il y a bon espoir de voir ce logiciel passer sa phase expérimentale.

Le nom rappelle LittleSnitch un pare-feu applicatif pour le système d'exploitation MacOS X.

On peut citer notamment deux précédentes tentatives de pare-feu applicatif ouvert pour Linux : Fireflier qui n'est plus maintenu et Douane qui ne semble pas vraiment décoller.

Le site Web d'OpenSnitch : https://opensnitch.io/
Son dépôt de sources, sur Github : https://github.com/evilsocket/opensnitch
La dépêche HackerNews qui en parle : https://news.ycombinator.com/item?id=14245270
Un paquet AUR pour Archlinux : https://aur.archlinux.org/packages/opensnitch-git/

# Sympa

Posté par erdnaxeli (site web personnel) le 06 mai 2017 à 14:49. Évalué à 10. Dernière modification le 06 mai 2017 à 14:51.
Pour un usage personnel je trouve ça plutôt sympa, histoire de maîtriser un peu ce qu'il se passe sur sa machine. Au final je n'ai pas mille applications qui tournent, pour l'instant je me suis contenté de white lister thunderbird, firefox et apt et ça marche pas mal du tout.

Là où on voit que c'en est encore vraiment aux débuts c'est avec le fait que :
- tout est dans un seul blob (pas de daemon, d'UI séparée, …)
- les règles sont sauvegardées dans une bdd sqlite dans le dossier courant
Au passage je découvre les mécanismes qui permettent de faire fonctionner un tel soft, c'est tout bête :
- une règle iptables pour rediriger les ouvertures de connexions vers la cible NFQUEUE
- OpenSnitch écoute la queue en question et valide ou refuse la connexion
Et comme OpenSnitch écoute uniquement les ouvertures de connexion je suppose que l'impact sur les perf est relativement faible.

Bonus : c'est écrit en python !

Il existe deux catégories de gens : ceux qui divisent les gens en deux catégories et les autres.
# Fireflier et Douane, pourquoi ne pas avoir contribué ou forké ?

Posté par RyDroid le 09 mai 2017 à 16:49. Évalué à 3.

Il y a déjà (au moins) 2 projets libres pour faire apparemment la même chose. Pourquoi faire un nouveau projet ? Différence(s) technique(s), de présentation, problème de licence, et/ou autre chose ?
# Et Gufw ?

Posté par showtime le 11 mai 2017 à 11:33. Évalué à 1.

Et c'est quoi la différence par rapport à Gufw (http://gufw.org/) par exemple ?

Et par rapport à tcp wrappers (https://www.tecmint.com/secure-linux-tcp-wrappers-hosts-allow-deny-restrict-access/) ?