読みましたが、プロセス固有のファイアウォールルールを作成する方法が見つからないようです。わかりました。iptables --uid-ownerただし、これは発信トラフィックにのみ適用されます。スクリプトの作成を検討しましたが、netstatプロセスiptablesが短時間でのみアクティブになると、スクリプトはこれを見逃す可能性があるため、これは非常に非効率的です。デフォルトでは、他のプロセスは影響を受けずにそのままにして、プロセスのポートと宛先に特定の制限を適用したいと思います。どんなアイデアがありますか?
ちなみにselinuxはこれを行うことができ、かなりうまくいきます。しかし、設定するのは少し痛いです。
ベストアンサー1
あなたの質問は次のようによく似ていますhttps://stackoverflow.com/questions/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts
iptablesの所有者モジュールがありましたが、--cmd-owner正常に動作しなかったため削除されました。今、最初のベータ版でヒョウの花利用可能な場合は、ユーザースペースデーモンを介して問題を解決します。
通常、プロセス固有のファイアウォールは、プログラムを実際に分離して制限しない限り、あまり役に立ちません。これには、TOMOYO Linux、SELinux、AppArmor、grsecurity、SMACKなどのセキュリティソリューションを検討する必要があります。