web-dev-qa-db-ja.com

プロセスごとのファイアウォール?

私は周りを読んでいますが、プロセスごとのファイアウォールルールを作成する方法を見つけることができないようです。私はiptables --uid-ownerについて知っていますが、それは発信トラフィックに対してのみ機能します。私はスクリプトnetstatiptablesを検討しましたが、プロセスが短い時間枠でのみアクティブである場合、スクリプトはそれを見逃す可能性があるため、これは非常に非効率的です。基本的に、他のプロセスに影響を与えずに、ポートとdstに関する特定の制限をプロセスに適用したい。何か案は?

参考までに、selinuxはこれを正確に行うことができ、かなりうまく動作します。ただし、セットアップは少し面倒です。

iptablesfirewallprocess-management
18
s3c

あなたの質問は https://stackoverflow.com/questions/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts によく似ています

--cmd-ownerはiptablesの所有者モジュール用ですが、正しく機能しなかったため削除されました。 Leopard Flower の最初のベータ版が利用可能になりました。これはユーザースペースデーモンによる問題を解決します。

一般に、プログラムを実際に分離して制限しない限り、プロセスごとのファイアウォールはあまり役に立ちません。このためには、TOMOYO Linux、SELinux、AppArmor、grsecurity、SMACKなどのセキュリティソリューションを確認する必要があります。

10
jofel

簡単です。別のユーザーでプロセスを実行し、「-uid-owner」を使用してください:)

1
jirib