Por firewall de processo?

18

Eu tenho lido por aí, mas não consigo encontrar uma maneira de criar regras de firewall por processo. Eu sei sobre iptables --uid-owner , mas isso só funciona para o tráfego de saída. Eu considerei o script netstat e iptables , mas isso parece terrivelmente ineficiente, pois se um processo está ativo apenas por um pequeno período de tempo, o script pode errar. Basicamente eu quero impor restrições específicas sobre porta e dst em um processo, deixando outros processos não afetados. Alguma idéia?

Para referência, o selinux pode fazer exatamente isso e funciona razoavelmente bem. A configuração é um pouco dolorosa.

    
por s3c 21.02.2012 / 13:10

2 respostas

10

Sua pergunta é muito semelhante a link

Houve o --cmd-owner para o módulo proprietário do iptables, mas foi removido porque não funcionou corretamente. Agora, uma primeira versão beta do Leopard Flower está disponível, o que resolve o problema por um daemon de espaço do usuário.

Em geral, um firewall por processo não é muito útil, a menos que você realmente isole e restrinja os programas. Para isso, você deve procurar soluções de segurança como o TOMOYO Linux, o SELinux, o AppArmor, o grsecurity, o SMACK, ...

    
por 21.02.2012 / 17:35
1

Fácil, execute seu processo sob um usuário diferente e use '--uid-owner':)

    
por 21.02.2012 / 13:48