Mỗi tường lửa quá trình?


18

Tôi đã đọc xung quanh nhưng dường như không thể tìm ra cách tạo quy tắc tường lửa theo quy trình. Tôi biết về iptables --uid-ownernhưng điều đó chỉ hoạt động cho lưu lượng đi. Tôi đã xem xét kịch bản netstatiptablesđiều này có vẻ không hiệu quả lắm vì nếu một quá trình chỉ hoạt động trong một khung thời gian nhỏ, kịch bản có thể bỏ lỡ nó. Về cơ bản tôi muốn thực thi các hạn chế cụ thể liên quan đến cổng và dst trên một quy trình trong khi để các quy trình khác không bị ảnh hưởng. Có ý kiến ​​gì không?


Để tham khảo selinux có thể làm chính xác điều này và nó hoạt động khá tốt. Thiết lập là một chút đau mặc dù.


1
Có lẽ LXC (Linux Container) sẽ thực hiện thủ thuật này? lxc.sourceforge.net
NSG

Điều gì là khó khăn về selinux? Chắc chắn có một chút của một đường cong học tập, nhưng có những công cụ tuyệt vời, cả đồ họa và dòng lệnh để hỗ trợ cấu hình. Hỗ trợ có sẵn trên IRC trên #selinux cũng như #fedora
Panther

thay vào đó bạn đã thử sử dụng Douane chưa? Askubfox.com/a/330259/46437
Sức mạnh của Bảo Bình

GUI tường lửa cho iptables cho phép bạn thực hiện chính xác điều đó và nó khá dễ sử dụng.
BKilpat01

Câu trả lời:


10

Câu hỏi của bạn rất giống với /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-c gặpparts

--cmd-ownermô-đun chủ sở hữu của iptables, nhưng nó đã bị xóa vì nó hoạt động không đúng. Bây giờ đã có phiên bản beta đầu tiên của Leopard Flower , giải quyết vấn đề bằng trình nền không gian người dùng.

Nói chung, tường lửa theo quy trình không hữu ích lắm trừ khi bạn thực sự cô lập và hạn chế các chương trình. Đối với điều này, bạn nên xem các giải pháp bảo mật như TOMOYO Linux, SELinux, AppArmor, grsecurance, SMACK, ...


1

Dễ dàng, chạy quy trình của bạn dưới người dùng khác và sử dụng '--uid-own' :)


1
Đó cũng là suy nghĩ đầu tiên của tôi, nhưng như tôi đã lưu ý, nó không hoạt động cho các quá trình nghe.
s3c

Chính xác ý định của bạn là gì? Để chắc chắn một chủ sở hữu / quy trình cụ thể có các bản mở riêng cho kết nối đến / đi?
jirib
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.