ต่อไฟร์วอลล์กระบวนการ?

ฉันอ่านมาแล้ว แต่ไม่สามารถหาวิธีสร้างกฎไฟร์วอลล์ต่อกระบวนการได้ ฉันรู้iptables --uid-ownerแต่ก็ใช้ได้กับการรับส่งข้อมูลขาออกเท่านั้น ฉันได้พิจารณาการเขียนสคริปต์netstatและiptablesแต่ดูเหมือนว่าไม่มีประสิทธิภาพชะมัดเพราะถ้ากระบวนการที่มีการใช้งานเฉพาะสำหรับขนาดเล็กกรอบเวลาสคริปต์ที่อาจจะพลาดมัน โดยทั่วไปฉันต้องการบังคับใช้ข้อ จำกัด เฉพาะเกี่ยวกับพอร์ตและ dst ในกระบวนการขณะที่ปล่อยให้กระบวนการอื่นไม่ได้รับผลกระทบ ความคิดใด ๆ

สำหรับการอ้างอิง selinux สามารถทำสิ่งนี้ได้และมันก็ทำงานได้ค่อนข้างดี การตั้งค่าเป็นเรื่องที่เจ็บปวดเล็กน้อย

iptables firewall process-management

— s3c
แหล่งที่มา

บางที LXC (Linux Containers) จะทำเคล็ดลับเหรอ? lxc.sourceforge.net

— nsg

อะไรคือความยากลำบากของเซลิลักซ์? แน่ใจว่ามีเส้นโค้งการเรียนรู้เล็กน้อย แต่มีเครื่องมือที่ยอดเยี่ยมทั้งกราฟิกและบรรทัดคำสั่งเพื่อช่วยในการกำหนดค่า การสนับสนุนมีอยู่ใน IRC ใน #selinux เช่นเดียวกับ #fedora

— Panther

คุณลองใช้ Douane แทนไหม? askubuntu.com/a/330259/46437

— กุมภ์ Power

firewalld GUI สำหรับ iptables อนุญาตให้คุณทำอย่างนั้นและมันค่อนข้างใช้งานง่าย

— BKilpat01

คำตอบ:

คำถามของคุณคล้ายกับ/programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts

มี--cmd-ownerโมดูลสำหรับเจ้าของของ iptables แต่ถูกลบออกเพราะทำงานไม่ถูกต้อง ขณะนี้มีLeopard Beta รุ่นแรกพร้อมใช้งานแล้วซึ่งแก้ปัญหาโดยภูตพื้นที่ผู้ใช้

โดยทั่วไปไฟร์วอลล์ต่อกระบวนการไม่ได้มีประโยชน์มากนักเว้นแต่คุณจะแยกและ จำกัด โปรแกรม สำหรับสิ่งนี้คุณควรดูโซลูชันความปลอดภัยเช่น TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...

— jofel
แหล่งที่มา

ง่ายใช้กระบวนการของคุณภายใต้ผู้ใช้ที่แตกต่างกันและใช้ '--uid-owner' :)

— jirib
แหล่งที่มา

นั่นเป็นความคิดแรกของฉันเช่นกัน แต่เมื่อฉันสังเกตเห็นว่ามันไม่ได้ผลสำหรับกระบวนการฟัง

— s3c

ความตั้งใจของคุณคืออะไร? เพื่อให้แน่ใจว่าเจ้าของ / กระบวนการเฉพาะมี openports ของตัวเองสำหรับการเชื่อมต่อขาเข้า / ขาออก?

— jirib