プロセスごとのファイアウォール？

私は読んでいますが、プロセスごとのファイアウォールルールを作成する方法を見つけることができないようです。私は知ってiptables --uid-ownerいますが、それは発信トラフィックに対してのみ機能します。私はスクリプティングnetstatを検討しましたiptablesが、プロセスが短い時間枠でのみアクティブである場合、スクリプトはそれを逃す可能性があるため、これは非常に非効率的なようです。基本的に、他のプロセスに影響を与えずに、プロセスのポートとdstに関する特定の制限を適用したいと思います。何か案は？

参考のために、selinuxはまさにこれを行うことができ、かなりうまく機能します。ただし、セットアップは少し面倒です。

あなたの質問は/programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterpartsに非常に似ています

--cmd-owneriptablesの所有者モジュールがありましたが、正しく機能しなかったため削除されました。Leopard Flowerの最初のベータ版が利用可能になりました。これにより、ユーザースペースデーモンによる問題が解決されます。

一般に、プロセスごとのファイアウォールは、プログラムを実際に隔離および制限しない限り、あまり役に立ちません。このためには、TOMOYO Linux、SELinux、AppArmor、grsecurity、SMACKなどのセキュリティソリューションをご覧ください。

簡単、別のユーザーでプロセスを実行し、「-uid-owner」を使用します:)