프로세스 방화벽 당?


18

나는 주변을 읽었지만 프로세스 별 방화벽 규칙을 만드는 방법을 찾지 못하는 것 같습니다. 나는 알고 iptables --uid-owner있지만 나가는 트래픽에만 작동합니다. 나는 스크립트로 간주했습니다 netstatiptables하지만 프로세스가 짧은 시간 프레임 만 활성화되면 스크립트가 그것을 놓칠 수 있으므로이 몹시 비효율적 인 것 같다. 기본적으로 다른 프로세스에는 영향을 미치지 않고 프로세스에서 포트 및 dst에 대한 특정 제한을 적용하고 싶습니다. 어떤 아이디어?


참고로 selinux는 이것을 정확하게 수행 할 수 있으며 상당히 잘 작동합니다. 설치는 약간의 고통입니다.


1
아마도 LXC (Linux Containers)가 트릭을 할 것입니까? lxc.sourceforge.net
nsg

selinux에서 어려운 점은 무엇입니까? 약간의 학습 곡선이 있지만 구성을 지원하는 그래픽 및 명령 줄 모두 훌륭한 도구가 있습니다. 지원은 #selinux 및 #fedora의 IRC에서 사용할 수 있습니다
Panther

대신 Douane을 사용해 보셨습니까? askubuntu.com/a/330259/46437
Aquarius Power

iptables의 방화벽 GUI를 사용하면 정확히 그렇게 할 수 있으며 사용하기가 쉽습니다.
BKilpat01

답변:


10

귀하의 질문은 /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts 와 매우 유사합니다

거기에 있었다 --cmd-owner의 iptables의 소유자 모듈,하지만 제대로하지 작동하기 때문에 제거되었다. 이제 Leopard Flower 의 첫 번째 베타 버전을 사용할 수 있으며 사용자 공간 데몬으로 문제를 해결합니다.

일반적으로 프로세스 별 방화벽은 실제로 프로그램을 격리하고 제한하지 않는 한 유용하지 않습니다. 이를 위해 TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK 등과 같은 보안 솔루션을 살펴보십시오.


1

쉽고, 다른 사용자로 프로세스를 실행하고 '--uid-owner'를 사용하십시오 :)


1
그것은 나의 첫 번째 생각이기도했지만 내가 언급 한 것처럼 듣기 프로세스에는 효과가 없습니다.
s3c

정확히 당신의 의도는 무엇입니까? 특정 소유자 / 프로세스에 들어오고 나가는 연결을위한 자체 오픈 포트가 있는지 확인하려면?
jirib
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.