피드로 돌아가기
GeekNewsSecurity
원문 읽기
리틀 스니치 for Linux
eBPF 기반 프로세스 식별 및 네트워크 제어 구현과 리눅스 배포판 호환성 과제
AI 요약
Context
기존 리눅스 방화벽의 프로세스 단위 정밀 제어 부족 및 OpenSnitch의 오픈소스 기반 한계를 극복하기 위한 시도. macOS의 Network Extension API와 유사한 사용자 경험을 리눅스 커널 환경에서 구현하려는 아키텍처적 요구 발생.
Technical Solution
- eBPF 컴포넌트를 통한 커널 수준의 네트워크 트래픽 모니터링 및 프로세스 매핑 구현
- 부모 프로세스 네임스페이스 추적을 통한 스크립트 실행 환경 기반의 세밀한 규칙 평가 로직 설계
- GPLv2 라이선스 적용 eBPF 코드를 통한 커널 내 데이터 수집부의 투명성 확보
- Root 권한 데몬 구조를 통한 시스템 전역 네트워크 제어권 획득
- Btrfs 파일 시스템의 특성을 고려한 프로세스 식별 로직 최적화 추진
- eBPF 캐시 오버플로 방지를 통한 IP-도메인 해석 및 프로세스 매핑 정확도 개선 시도
실천 포인트
1. eBPF 기반 도구 도입 시 타겟 배포판의 기본 파일 시스템과 커널 설정 확인
2. Root 권한 실행 데몬의 보안 강화를 위해 SELinux MAC 정책 적용 검토
3. 고부하 환경에서 eBPF 맵 캐시 오버플로로 인한 식별 실패 가능성 설계에 반영
4. 네트워크 제어 툴 설계 시 사용자 피로도를 낮추는 UX 및 자동 허용 래퍼 구조 고려