Regole per applicazione in iptable

C'è la possibilità di aggiungere la regola tramite iptable per il nome del processo specifico?

La buona spiegazione del perché ne ho bisogno è Qui :

"In Windows, questo aiuta a rendere il PC più sicuro. Ci sono molte applicazioni che" telefonano "su porte standard, cioè inviano informazioni sui modelli comportamentali dell'utente (es. Real Player, Adobe Acrobat Reader, WinAmp, ecc.), O navigare su Internet per qualsiasi cosa essi facciano.Molte applicazioni inviano informazioni ogni volta che un'applicazione viene avviata al server di registrazione Microsoft, generando un modello di utilizzo.Tuttavia la maggior parte di queste informazioni è piuttosto innocua, una volta ogni tanto si incontra un'applicazione che invia dati che preferiresti non avere nel pubblico. È sempre stato abbastanza interessante vedere che cosa un'applicazione di nuova installazione vorrebbe inviare a Internet. "

Ho cercato su Google che ci fosse l'opzione -m owner --cmd-owner, ma cosa usare adesso? O potrebbe analogamente a quell'opzione sarà disponibile in imminente nftables?

iptables

— Void
fonte

Questa domanda è stata posta molte volte.

Il motivo per cui ciò che suggerisci non è molto utile è che, in Linux, questo viene fatto da diverse applicazioni, (SELinux, AppArmor, SMACK, ....), non tramite firewall. Queste applicazioni assicurano che le app monitorate siano completamente isolate dal contesto, quindi forniscono un controllo molto più stretto rispetto a un semplice firewall.

Se tuttavia hai bisogno di un'applicazione rapida e sporca, una cosa del genere esiste e viene chiamata Fiore LeoPard .

In alternativa, puoi farlo come segue: esegui l'app in un container Linux o VM, per alcuni giorni, blocca tutti i tentativi di contattare Internet e dai un'occhiata al log. Questo ti aiuterà a identificare chi stanno cercando di contattare e potresti quindi bloccare esattamente quegli IP.

L'ho fatto alcuni anni fa, quando ho scoperto che anche i siti Web legittimi indicavano le immagini Mac OS opportunamente modificate da eseguire su macchine virtuali Linux (o così hanno sostenuto), regalati gratuitamente. Ed ero curioso di scoprire quanto fossero malvagi. (La risposta, non sorprende, era: totalmente ).

— MariusMatutiae
fonte

Quindi, hai detto di usare qualcosa come apparmot, ma ecco cosa dice il manuale di apparmor: AppArmor supporta la semplice mediazione di rete a grana grossa. La regola di rete limita tutte le operazioni basate sul socket (2). La mediazione fatta è un controllo a grana di corso su se un socket di un determinato tipo e famiglia può essere creato, letto o scritto. Non esiste alcuna mediazione basata sul numero di porta o sul protocollo oltre a tcp, udp e raw.

— Void

Inoltre, sembra impossibile definire un profilo "predefinito" che verrà applicato a tutti i programmi tranne quelli che hanno un profilo esplicito. (E tutto quanto descritto sopra, eccetto il binding al nome del programma che posso fare tramite iptables ...) Se mi sbaglio, dammi il link pls per aiutare / man

— Void

@Void La pagina man di Ubuntu, wiki.ubuntu.com/AppArmor#More_information , stati: AppArmor è un sistema Mandatory Access Control (MAC) che è un miglioramento del kernel (LSM) per limitare i programmi a un insieme limitato di risorse. Il modello di sicurezza di AppArmor consiste nel legare gli attributi del controllo di accesso ai programmi piuttosto che agli utenti. Questo è esattamente quello che hai chiesto. Per quanto riguarda il profilo predefinito, dovresti leggere le righe 1.4 / 1.5 / 1.6 di questo documento: wiki.apparmor.net/index.php/FAQ

— MariusMatutiae

Sì, ma dice anche "Non esiste alcuna mediazione basata sul numero di porta", quindi è completamente inutile per il caso di utilizzo sopra descritto (in breve: consentire il traffico http / https per Chrome e non consentire altre app) perché ho bisogno di usare pesantemente la porta numeri

— Void