具有改进和错误修复的OpenSnitch Linux应用防火墙叉

OpenSnitch,适用于Linux的应用程序防火墙, 不再 正在积极开发中。但这并不意味着该项目已经结束,因为 古斯塔沃 分叉 大约8个月前,它就一直在改进。OpenSnitch(叉) 是一个免费的开源Linux应用程序级防火墙,由守护程序(用Go编写)和GUI(PyQt5)组成,它监视您的应用程序尝试建立的出站连接,基于一组阻止或允许其连接规则(当未找到现有规则时,提示用户允许或拒绝访问)。该应用程序受Little Snitch启发,Little Snitch是macOS的商用基于主机的应用程序防火墙。

从一开始就值得注意的是,就像原始的OpenSnitch防火墙软件一样,fork正在开发中,其页面说“不要指望它没有错误,也不要依靠它来提供任何类型的安全性”,进入任何细节。

在Linux上使用OpenSnitch应用程序级防火墙

让我们看一下该应用程序的工作方式。在后台运行OpenSnitch守护进程,在运行OpenSnitch托盘UI时,当应用程序尝试访问Internet时,将显示一个对话框提示,询问您是否要允许或拒绝来自此的连接进程(或端口等),一次,持续几秒/分钟,此会话或永远。OpenSnitch Linux应用程序防火墙提示对话框

该对话框包含以下信息:应用程序名称,尝试连接的域名/ IP,端口,源IP,目标IP和端口,用户ID和进程ID。
托盘图标允许访问OpenSnitch网络统计信息(还有一个将统计信息保存到.cvs文件的按钮):OpenSnitch防火墙网络统计

此GUI不允许更改OpenSnitch规则,因此,在允许或拒绝某些进程/应用程序的访问后,您将无法再使用GUI进行更改。直到OpenSnith GUI获得编辑现有防火墙的支持规则(或从GUI手动添加规则),则需要编辑规则文件,该文件位于 /etc/opensnitchd/rules/
这是一个简单的OpenSnitch规则的示例:

$ cat /etc/opensnitchd/rules/allow-simple-usrlibfirefoxfirefox.json 
{
  "created": "2020-02-24T14:16:23.5976661+02:00",
  "updated": "2020-02-24T14:16:23.597682816+02:00",
  "name": "allow-simple-usrlibfirefoxfirefox",
  "enabled": true,
  "action": "allow",
  "duration": "always",
  "operator": {
    "type": "simple",
    "operand": "process.path",
    "data": "/usr/lib/firefox/firefox",
    "list": []
  }

您可能还会喜欢:bandwhich显示在Linux和macOS上占用网络带宽的内容

OpenSnitch前叉

OpenSnitch Linux应用程序防火墙分叉

自从分叉OpenSnitch以来,Gustavo改进了软件并修复了许多问题,包括:

  • 添加了对高级规则(列表)的支持,这些规则可用于基于目标IP,端口和上面的更多屏幕截图来允许或限制连接
  • Network Statistics用户界面得到了很大的改进,现在您可以过滤结果并配置要在“常规”选项卡上显示的项目数等等,现在还可以从“常规”选项卡查看规则/流程的详细信息
  • 在某些情况下提高了UI性能并修复了UI冻结,这对于旧的OpenSnitch防火墙用户来说是很普遍的问题
  • UI HiDPI修复
  • 在“允许/拒绝”对话框中添加了更多时间范围(30秒,5m,15m,30m,1小时)
  • 可以使用ftrace(debugfs)或/ proc搜索正在运行的过程(PID)并获取进程路径
  • 如果守护程序无法与UI进行通信,则将应用默认操作
  • 添加了允许/拒绝二级域的选项
  • 修复了解析.desktop文件时发生的崩溃(在旧的OpenSnitch中非常普遍的问题)
  • 添加了UI警报以警告未应答的连接
  • 没有可用的系统托盘时显示应用程序窗口
  • 拦截和解析UDP Lite连接
  • 允许拦截本地主机和多播连接
  • 其他变化

除此之外,现在还可以下载OpenSnitch DEB二进制文件,从而可以轻松地在Debian 9和更高版本,Ubuntu 16.04和更高版本以及Linux Mint 18和更高版本以及基于这些的其他Linux发行版上安装此防火墙软件(例如Pop! _OS等)。
您可能会喜欢:如何在Linux上永久更改MAC地址

下载OpenSnitch(叉子)

OpenSnitch前叉 开发人员已使OpenSnitch DEB软件包可供下载(您需要下载并安装这两个软件包) opensnitchpython3-opensnitch-ui DEB软件包)以及源代码。安装DEB软件包后,OpenSnitch防火墙守护程序会自动启动,但是您需要从应用程序菜单中手动启动GUI(托盘)。OpenSnitch托盘图标将在下一次自动启动您登录。[Later edit] 对于Arch Linux / Manjaro用户, AUR opensnitch-git 软件包已从旧的,无需维护的OpenSnitch切换到了fork,因此您可以使用它来安装它。
要从源代码安装OpenSnitch(叉子),请参阅其 文件资料

Sidebar