s3c*_*s3c 19 firewall iptables process-management
我一直在阅读,但似乎无法找到一种方法来创建每个进程的防火墙规则。我知道,iptables --uid-owner但这仅适用于传出流量。我已经考虑过编写脚本netstat,iptables但这似乎非常低效,因为如果一个进程只在很短的时间内处于活动状态,脚本可能会错过它。基本上,我想对进程强制执行有关端口和 dst 的特定限制,同时不影响其他进程。有任何想法吗?
作为参考,selinux 可以做到这一点,而且效果很好。不过设置有点麻烦。
jof*_*fel 10
您的问题与/sf/ask/381584451/非常相似
有--cmd-ownerfor iptables 的 owner 模块,但它被删除了,因为它工作不正常。现在Leopard Flower的第一个测试版可用,它通过用户空间守护程序解决了这个问题。
一般来说,除非你真的隔离和限制程序,否则每个进程的防火墙不是很有用。为此,您应该查看安全解决方案,例如 TOMOYO Linux、SELinux、AppArmor、grsecurity、SMACK...