Mỗi tường lửa quá trình?

Tôi đã đọc xung quanh nhưng dường như không thể tìm ra cách tạo quy tắc tường lửa theo quy trình. Tôi biết về iptables --uid-ownernhưng điều đó chỉ hoạt động cho lưu lượng đi. Tôi đã xem xét kịch bản netstatvà iptablesđiều này có vẻ không hiệu quả lắm vì nếu một quá trình chỉ hoạt động trong một khung thời gian nhỏ, kịch bản có thể bỏ lỡ nó. Về cơ bản tôi muốn thực thi các hạn chế cụ thể liên quan đến cổng và dst trên một quy trình trong khi để các quy trình khác không bị ảnh hưởng. Có ý kiến ​​gì không?

Để tham khảo selinux có thể làm chính xác điều này và nó hoạt động khá tốt. Thiết lập là một chút đau mặc dù.

Câu hỏi của bạn rất giống với /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-c gặpparts

Có --cmd-ownermô-đun chủ sở hữu của iptables, nhưng nó đã bị xóa vì nó hoạt động không đúng. Bây giờ đã có phiên bản beta đầu tiên của Leopard Flower , giải quyết vấn đề bằng trình nền không gian người dùng.

Nói chung, tường lửa theo quy trình không hữu ích lắm trừ khi bạn thực sự cô lập và hạn chế các chương trình. Đối với điều này, bạn nên xem các giải pháp bảo mật như TOMOYO Linux, SELinux, AppArmor, grsecurance, SMACK, ...

Dễ dàng, chạy quy trình của bạn dưới người dùng khác và sử dụng '--uid-own' :)