Zapora ogniowa na proces?

Czytałem już, ale nie mogę znaleźć sposobu na tworzenie reguł zapory dla poszczególnych procesów. Wiem o iptables --uid-ownertym, ale to działa tylko w przypadku ruchu wychodzącego. Mam uważane skryptów netstati iptablesale ten wydaje się strasznie nieskuteczny, ponieważ jeśli proces jest aktywny tylko dla małej czasowych skrypt może go przegapić. Zasadniczo chcę egzekwować określone ograniczenia dotyczące portu i dst w procesie, pozostawiając niezmienione inne procesy. Jakieś pomysły?

Dla porównania selinux może to zrobić dokładnie i działa całkiem dobrze. Konfiguracja jest jednak trochę uciążliwa.

Twoje pytanie jest bardzo podobne do /programming/5451206/linux-per-program-firewall-similar-to-windows-and-mac-counterparts

Był --cmd-ownermoduł właściciela for iptables, ale został usunięty, ponieważ nie działał poprawnie. Teraz dostępna jest pierwsza wersja beta Leopard Flower , która rozwiązuje problem przez demona przestrzeni użytkownika.

Zasadniczo zapora ogniowa na proces nie jest bardzo przydatna, chyba że naprawdę wyodrębnisz i ograniczysz programy. W tym celu powinieneś przyjrzeć się rozwiązaniom bezpieczeństwa takim jak TOMOYO Linux, SELinux, AppArmor, grsecurity, SMACK, ...

Łatwo, uruchom swój proces dla innego użytkownika i użyj „--uid-owner” :)