Namensräume sind eine Grundlage für Container und Sandboxes unter Linux. Dieser Vortrag stellt Netzwerk-Namensräume vor und beschreibt wie auf sie aufbauend Netzwerkverbindungen für eine Anwendung auf erlaubte Ziele begrenzt werden können. Schritt für Schritt werden die nötigen Konzepte vorgestellt und eine Lösung zum Einschränken von Netzwerkverbindungen für Anwendungen praktisch implementiert.
"Linux ist weniger sicher als Windows oder Mac." Ein Beitrag mit dieser provokanten These hat mir zur Einsicht verholfen, dass auf meinem Rechner nichts ein fehlerhaftes oder bösartiges Programm daran hindert alle meine Dateien zu löschen. Sandbox-Lösungen wie firejail können da Abhilfe schaffen, bieten aber nicht Profile für alle Anwendungen. Diese Profile muss man selbst erstellen. Ich spiele manchmal Spiele im Einzelspielermodus und möchte nicht, dass die Netzwerkverbindungen aufbauen. Manche Spiele gibt es aber nur bei Steam. Ich habe es nicht geschafft Steam Netzwerkzugriff zu erlauben, aber Spielen nicht. Darauf folgte die Frage: Wie funktionieren diese Sandboxes eigentlich? Und: Wie kann ich Netzwerkzugriffe auf bestimmte Ziele begrenzen? Im Vortrag beschreibe ich, was ich herausgefunden habe und erkläre Schritt für Schritt wie eine solche Lösung funktioniert. Grundkenntnisse in den Bereichen Linux, Programmieren und Netzwerk sind empfehlenswert. Wer von Prozessen, dem Einbinden (mount) von Dateisystemen, Netzwerkgeräten (z.B. eth0, wlan0), if und Schleifen sowie IP-Addressen und TCP zumindest schon einmal gehört hat, sollte dem Vortrag etwas abgewinnen können.