Czytałem już, ale nie mogę znaleźć sposobu na tworzenie reguł zapory dla poszczególnych procesów. Wiem o iptables --uid-owner
tym, ale to działa tylko w przypadku ruchu wychodzącego. Mam uważane skryptów netstat
i iptables
ale ten wydaje się strasznie nieskuteczny, ponieważ jeśli proces jest aktywny tylko dla małej czasowych skrypt może go przegapić. Zasadniczo chcę egzekwować określone ograniczenia dotyczące portu i dst w procesie, pozostawiając niezmienione inne procesy. Jakieś pomysły?
Dla porównania selinux może to zrobić dokładnie i działa całkiem dobrze. Konfiguracja jest jednak trochę uciążliwa.
Odpowiedzi:
Twoje pytanie jest bardzo podobne do /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts
Był
--cmd-owner
moduł właściciela for iptables, ale został usunięty, ponieważ nie działał poprawnie. Teraz dostępna jest pierwsza wersja beta Leopard Flower , która rozwiązuje problem przez demona przestrzeni użytkownika.Zasadniczo zapora ogniowa na proces nie jest bardzo przydatna, chyba że naprawdę wyodrębnisz i ograniczysz programy. W tym celu powinieneś przyjrzeć się rozwiązaniom bezpieczeństwa takim jak TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...
źródło
Łatwo, uruchom swój proces dla innego użytkownika i użyj „--uid-owner” :)
źródło