За брандмауер процесу?


18

Я читав, але не можу знайти спосіб створити правила брандмауера для кожного процесу. Я знаю про, iptables --uid-ownerале це працює лише для вихідного трафіку. Я розглянув сценарії netstatі , iptablesале це здається дуже неефективно , тому що якщо процес активний лише в протягом невеликого часу кадру сценарій може пропустити. В основному я хочу застосувати конкретні обмеження щодо порту та dst для процесу, залишаючи при цьому інші процеси без змін. Якісь ідеї?


Для довідки, selinux може зробити саме це, і він працює досить добре. Налаштування трохи не болить.


1
Можливо, LXC (Linux Containers) зробить трюк? lxc.sourceforge.net
nsg

Що так важко у selinux? Звичайно, є трохи кривої навчання, але є чудові інструменти, як графічний, так і командний рядок, який допомагає в налаштуванні. Підтримка доступна в IRC на #selinux, а також #fedora
Panther

ви намагалися використовувати замість Дуена? askubuntu.com/a/330259/46437
Сила Водолія

Графічний інтерфейс firewalld для iptables дозволяє зробити саме це, і це досить просто у використанні.
BKilpat01

Відповіді:


10

Ваше запитання дуже схоже на /programming/5451206/linux-per-program-firewall-s similar-to- windows-and-mac-counterparts

Був --cmd-ownerвласник модуля для iptables, але його було видалено, оскільки він працював неправильно. Тепер доступна перша бета-версія Leopard Flower , яка вирішує проблему демоном простору користувача.

Взагалі брандмауер для кожного процесу не дуже корисний, якщо ви дійсно не ізолюєте та обмежуєте програми. Для цього слід переглянути такі рішення безпеки, як TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...


1

Легко, запускайте процес під іншим користувачем та використовуйте '--uid-owner' :)


1
Це була моя перша думка, але, як я зазначив, це не працює для процесів прослуховування.
s3c

Який саме ваш намір? Щоб бути впевненим, що конкретний власник / процес має власні відкриті порти для вхідного / вихідного з'єднання?
джибір
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.