5 ответов в этой теме

[ASteZ]

Добрый день!

Вопрос касается настройки "проверять трафик, передаваемый через защищенные соединения ssl/tls".

Возможно ли настроить DrWeb таким образом, чтобы ssl-трафик проверялся только для выбранных  приложений - например только для одного браузера из нескольких установленных в системе, либо наоборот исключить некоторые процессы из проверки ssl-трафика - например виртуальные машины?

 

[amorozov]

Да, можно так сделать. Чтобы вскрывать SSL только для выбранных приложений:

sudo drweb-ctl cfset LinuxFirewall.UnwrapSsl -r
sudo drweb-ctl cfset LinuxFirewall.RuleSet2 'proc in ("/путь/к/приложению/1", ("/путь/к/приложению/2") : set UnwrapSSL = true'

Чтобы вскрывать SSL для всех приложений, кроме заданных:

sudo drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes
sudo drweb-ctl cfset LinuxFirewall.RuleSet2 'proc in ("/путь/к/приложению/1", ("/путь/к/приложению/2") : set UnwrapSSL = false'

Также можно вообще не проверять трафик для заданных приложений независимо от того, используют они SSL или нет. Это можно сделать с помощью LinuxGUI в Настройки -> Исключения -> Приложения... Либо в консоли:

sudo drweb-ctl cfset LinuxFirewall.ExcludedProc /путь/к/приложению -a

[ASteZ]

Попробовал по варианту 1 с firefox. В результате получились такие настройки:

$which firefox
/usr/bin/firefox
$ sudo drweb-ctl reload
$ sudo drweb-ctl cfshow | grep -i ssl
NetCheck.LoadBalanceUseSsl = No
NetCheck.LoadBalanceSslCertificate =
NetCheck.LoadBalanceSslKey =
NetCheck.LoadBalanceSslCa =
NetCheck.LoadBalanceSslCrl =
GateD.CaPath = /etc/ssl/certs
LinuxFirewall.UnwrapSsl = No
LinuxFirewall.RuleSet1 =  : set UnwrapSSL = false
LinuxFirewall.RuleSet2 = proc in ("/usr/bin/firefox") : set UnwrapSSL = true

В результате - издатель сертификата не изменился - когда глобально включал для эксперимента опцию - было видно что издатель поменялся на drweb. Я что-то сделал не так?

 

]$ drweb-ctl --version
drweb-ctl 11.1.5.1911261919
 

И, ЕМНИП, когда я ранее при включенной глобально проверке прописывал приложение в исключения через интерфейс - это тоже не сработало...

Сообщение было изменено ASteZ: 05 Май 2020 - 09:00

[ASteZ]

По "варианту2" тоже не работает:

$ drweb-ctl cfshow | grep -i ssl
NetCheck.LoadBalanceUseSsl = No
NetCheck.LoadBalanceSslCertificate =
NetCheck.LoadBalanceSslKey =
NetCheck.LoadBalanceSslCa =
NetCheck.LoadBalanceSslCrl =
GateD.CaPath = /etc/ssl/certs
LinuxFirewall.UnwrapSsl = Yes
LinuxFirewall.RuleSet1 =  : set UnwrapSSL = true
LinuxFirewall.RuleSet2 = proc in ("/usr/bin/chromium-browser") : set UnwrapSSL = false

В этом случае издатель сертификата поменялся, но в chromium исключение не сработало...

[amorozov]

Нужно прописать путь к бинарю, который реально устанавливает соединене. См. вывод ps aux. Например, у меня в системе для исключения Firefox надо добавить /usr/lib/firefox-esr/firefox-esr.

[ASteZ]

Спасибо!  Сработало! Поэтому и исключения не срабатывало когда я его прописывал - я там тоже прописывал именно путь по которому запускается приложение...