Firewall per processo?


18

Ho letto, ma non riesco a trovare un modo per creare regole firewall per processo. Lo so, iptables --uid-ownerma funziona solo per il traffico in uscita. Ho considerato scripting netstate iptablesma questo sembra terribilmente inefficiente in quanto se un processo è attivo solo per un piccolo lasso di tempo lo script potrebbe perdere. Fondamentalmente voglio applicare restrizioni specifiche per quanto riguarda port e dst su un processo, lasciando altri processi inalterati. Qualche idea?


Come riferimento selinux può fare esattamente questo e funziona abbastanza bene. L'installazione è un po 'una seccatura però.


1
Forse LXC (Linux Containers) farà il trucco? lxc.sourceforge.net
nsg

Cosa c'è di così difficile in selinux? Sicuramente c'è un po 'di una curva di apprendimento, ma ci sono ottimi strumenti, sia grafici che a riga di comando per aiutare con la configurazione. Il supporto è disponibile su IRC su #selinux e #fedora
Panther

hai provato ad usare Douane invece? askubuntu.com/a/330259/46437
Aquarius Power

La GUI di firewalld per iptables ti consente di fare esattamente questo ed è abbastanza facile da usare.
BKilpat01,

Risposte:


10

La tua domanda è molto simile a /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts

C'era il --cmd-ownermodulo proprietario di iptables, ma è stato rimosso perché non funzionava correttamente. Ora è disponibile una prima versione beta di Leopard Flower , che risolve il problema da un demone dello spazio utente.

In generale un firewall per processo non è molto utile se non si isolano e si limitano realmente i programmi. Per questo, dovresti guardare soluzioni di sicurezza come TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...


1

Facile, esegui il processo con un altro utente e usa "--uid-owner" :)


1
Anche questo è stato il mio primo pensiero ma, come ho notato, non funziona per i processi di ascolto.
s3c,

Qual è esattamente la tua intenzione? Per essere sicuri che un proprietario / processo specifico abbia i propri openport per la connessione in entrata / in uscita?
jirib,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.