He estado leyendo pero parece que no puedo encontrar una manera de crear reglas de firewall por proceso. Lo sé, iptables --uid-ownerpero eso solo funciona para el tráfico saliente. He considerado las secuencias de comandos netstaty iptablesesto parece terriblemente ineficiente, ya que si un proceso solo está activo durante un período de tiempo pequeño, la secuencia de comandos podría perderlo. Básicamente quiero imponer restricciones específicas con respecto al puerto y el dst en un proceso sin dejar otros procesos afectados. ¿Algunas ideas?
Como referencia, selinux puede hacer exactamente esto y funciona bastante bien. Sin embargo, la configuración es un poco molesta.
Respuestas:
Su pregunta es muy similar a /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts
Estaba el
--cmd-ownermódulo propietario de iptables, pero se eliminó porque no funcionaba correctamente. Ahora está disponible una primera versión beta de Leopard Flower , que resuelve el problema por un demonio de espacio de usuario.En general, un firewall por proceso no es muy útil a menos que realmente aísle y restrinja los programas. Para esto, debe buscar soluciones de seguridad como TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...
fuente
Fácil, ejecute su proceso con un usuario diferente y use '--uid-owner' :)
fuente