İşlem başına güvenlik duvarı?


18

Etrafta okuyorum ama işlem başına güvenlik duvarı kuralları oluşturmanın bir yolunu bulamıyorum. Biliyorum iptables --uid-ownerama bu sadece giden trafik için işe yarıyor. Komut dosyası oluşturmayı düşündüm netstatve iptablesbu işlem çok küçük bir zaman dilimi için etkinse komut dosyası onu kaçırabilir çünkü çok verimsiz görünüyor. Temel olarak, diğer süreçleri etkilenmeden bırakırken bir süreçte bağlantı noktası ve dst ile ilgili belirli kısıtlamaları uygulamak istiyorum. Herhangi bir fikir?


Referans için selinux tam olarak bunu yapabilir ve oldukça iyi çalışır. Kurulum olsa biraz acıdır.


1
Belki LXC (Linux Konteynerler) hile yapacak? lxc.sourceforge.net
nsg

Selinux hakkında bu kadar zor olan ne? Elbette biraz öğrenme eğrisi var, ancak yapılandırmaya yardımcı olmak için hem grafik hem de komut satırı gibi harika araçlar var. IRC'de #selinux ve #fedora'da destek
Panther

Douane kullanmayı denedin mi? askubuntu.com/a/330259/46437
Kova Gücü

İptables için firewalld GUI tam olarak bunu yapmanızı sağlar ve kullanımı oldukça kolaydır.
BKilpat01

Yanıtlar:


10

Sorunuz /programming/5451206/linux-per-program-firewall-slike-to-windows-and-mac-counterparts adresine çok benzer

Orada --cmd-owneriptables sahibi modülü için, ancak düzgün olmayan çalıştı çünkü kaldırıldı. Artık Leopard Flower'ın ilk beta sürümü mevcut, bu da sorunu bir kullanıcı uzay arka plan programı ile çözüyor.

Genel olarak, programları gerçekten ayırma ve kısıtlamadığınız sürece işlem başına güvenlik duvarı çok kullanışlı değildir. Bunun için TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ... gibi güvenlik çözümlerine bakmalısınız.


1

Kolay, işleminizi farklı kullanıcı altında çalıştırın ve '--uid-owner' kullanın :)


1
Bu benim de ilk düşüncemdi ama belirttiğim gibi dinleme süreçlerinde işe yaramıyor.
s3c

Niyetin tam olarak nedir? Belirli bir sahip / işlemin gelen / giden bağlantı için kendi açık portları olduğundan emin olmak için?
jirib
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.