Czytałem już, ale nie mogę znaleźć sposobu na tworzenie reguł zapory dla poszczególnych procesów. Wiem o iptables --uid-ownertym, ale to działa tylko w przypadku ruchu wychodzącego. Mam uważane skryptów netstati iptablesale ten wydaje się strasznie nieskuteczny, ponieważ jeśli proces jest aktywny tylko dla małej czasowych skrypt może go przegapić. Zasadniczo chcę egzekwować określone ograniczenia dotyczące portu i dst w procesie, pozostawiając niezmienione inne procesy. Jakieś pomysły?
Dla porównania selinux może to zrobić dokładnie i działa całkiem dobrze. Konfiguracja jest jednak trochę uciążliwa.
Odpowiedzi:
Twoje pytanie jest bardzo podobne do /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts
Był
--cmd-ownermoduł właściciela for iptables, ale został usunięty, ponieważ nie działał poprawnie. Teraz dostępna jest pierwsza wersja beta Leopard Flower , która rozwiązuje problem przez demona przestrzeni użytkownika.Zasadniczo zapora ogniowa na proces nie jest bardzo przydatna, chyba że naprawdę wyodrębnisz i ograniczysz programy. W tym celu powinieneś przyjrzeć się rozwiązaniom bezpieczeństwa takim jak TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...
źródło
Łatwo, uruchom swój proces dla innego użytkownika i użyj „--uid-owner” :)
źródło