每进程防火墙?


18

我一直在阅读,但似乎找不到找到创建每个进程防火墙规则的方法。我知道,iptables --uid-owner但这仅适用于传出流量。我考虑过脚本编写netstatiptables但是这似乎效率很低,因为如果某个进程仅在很小的时间范围内处于活动状态,脚本可能会错过它。基本上,我想在不影响其他进程的情况下对进程的端口和dst实施特定限制。有任何想法吗?


作为参考,selinux可以做到这一点,并且效果很好。设置有点麻烦。


1
也许LXC(Linux容器)会成功吗?lxc.sourceforge.net
nsg

selinux有何困难?当然,这里有一些学习曲线,但是有很多出色的工具(包括图形和命令行)可以帮助进行配置。支持可IRC上#selinux以及#fedora

您是否尝试过使用Douane?askubuntu.com/a/330259/46437
Aquarius Power

iptables的防火墙GUI可以让您做到这一点,并且非常易于使用。
BKilpat01 2013年

Answers:


10

您的问题与/programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts非常相似

曾经有--cmd-ownerfor iptables的所有者模块,但是由于它无法正常工作而被删除。现在,Leopard Flower的第一个beta版本可用,它通过用户空间守护程序解决了该问题。

通常,除非真正隔离并限制程序,否则按进程防火墙不是很有用。为此,您应该查看诸如TOMOYO Linux,SELinux,AppArmor,grsecurity,SMACK等安全解决方案。


1

容易,在其他用户下运行您的进程并使用'--uid-owner':)


1
那也是我的第一个想法,但正如我指出的那样,它不适用于侦听过程。
s3c 2012年

您的意图到底是什么?要确保特定的所有者/进程具有自己的传入/传出连接的开放端口?
jirib
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.