Saya telah membaca sekitar tetapi sepertinya tidak bisa menemukan cara untuk membuat aturan firewall per-proses. Saya tahu iptables --uid-ownertetapi itu hanya berfungsi untuk lalu lintas keluar. Saya telah mempertimbangkan skrip netstatdan iptablestetapi ini tampaknya sangat tidak efisien karena jika suatu proses hanya aktif untuk kerangka waktu yang kecil skrip mungkin akan melewatkannya. Pada dasarnya saya ingin menegakkan pembatasan spesifik tentang port dan dst pada suatu proses sementara meninggalkan proses lain tidak terpengaruh. Ada ide?
Untuk referensi selinux dapat melakukan ini dengan tepat dan bekerja dengan cukup baik. Pengaturannya sedikit menyusahkan.
Jawaban:
Pertanyaan Anda sangat mirip dengan /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts
Ada
--cmd-ownermodul untuk iptables, tetapi dihapus karena tidak berfungsi dengan benar. Sekarang versi beta pertama dari Leopard Flower tersedia, yang memecahkan masalah dengan daemon ruang pengguna.Secara umum firewall per-proses tidak terlalu berguna kecuali Anda benar-benar mengisolasi dan membatasi program. Untuk ini, Anda harus melihat solusi keamanan seperti TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...
sumber
Mudah, jalankan proses Anda di bawah pengguna yang berbeda dan gunakan '--uid-owner' :)
sumber