# Little Snitch für Linux: eBPF-Überwachung der Netzwerkaktivität von Anwendungen
Entwickler Christian Starkjohann hat eine Linux-Version von Little Snitch veröffentlicht – ein Tool zur detaillierten Kontrolle der Netzwerkaktivität von Anwendungen. Die Lösung nutzt eBPF, um den Traffic auf Kernel-Ebene zu inspizieren, und stellt eine Weboberfläche zur Verwaltung bereit. Sie unterstützt Linux-Kernel ab Version 6.12. Der Hintergrund-Daemon ist in Rust geschrieben und erscheint unter einer proprietären Lizenz, die die kostenlose Verteilung erlaubt.
Architektur und Komponenten
Der Kern ist ein BPF-Handler, der in den Kernel geladen wird, um Netzwerkpakete abzufangen. Er analysiert Anwendungsverbindungen in Echtzeit. Der littlesnitch-daemon verarbeitet Ereignisse und verwaltet Regeln.
- Offene Komponenten (GPLv2): eBPF-Programme, Funktionsbibliothek, Weboberfläche – verfügbar auf GitHub.
- Proprietärer Daemon: littlesnitch-daemon – kostenlos für Nutzung und Verteilung.
Die Weboberfläche läuft unter http://localhost:3031/ und unterstützt den PWA-Modus für die Nutzung als eigenständige App.
Überwachungs- und Blockierfunktionen
Das Tool visualisiert aktuelle Verbindungen: Hosts, Traffic-Volumen, Aktivitätsverlauf. Das Blockieren erfolgt nach IP, Subnetzen und Domains.
Funktionen:
- Erstellen von Positivlisten für vertrauenswürdige Anwendungen.
- Importieren und automatische Aktualisierung externer Blocklisten (oisd.nl und Ähnliche) für Werbung, Tracker, Telemetrie, Phishing.
- Ein-Klick-Blockierung unerwünschter Verbindungen.
Das ermöglicht Middle-/Senior-Entwicklern, in Arbeitsumgebungen strenge Kontrollen durchzusetzen, ohne Leistungseinbußen.
Vergleich mit OpenSnitch
OpenSnitch ist eine Open-Source-Alternative mit interaktiven Dialogen für neue Verbindungen. Allerdings deckt sie nach Angaben von Starkjohann nicht alle Szenarien ab:
| Merkmal | Little Snitch für Linux | OpenSnitch |
|--------------------------|--------------------------|------------|
| eBPF-Unterstützung | Ja | Teilweise |
| Ein-Klick-Blockierung | Ja | Nein |
| Weboberfläche mit PWA | Ja | Nein |
| Automatisch aktualisierende Blocklisten | Ja | Begrenzt |
Little Snitch setzt auf bequeme Prozessüberwachung ohne ständige Popups.
Installation und Anforderungen
Das Projekt erfordert Kernel 6.12+. Die Installation umfasst das Laden des BPF-Moduls und das Starten des Daemons. Die Weboberfläche ist direkt nach dem Start verfügbar. Für Produktionsumgebungen Positivlisten für wichtige Dienste konfigurieren.
Wichtige Punkte
- eBPF ermöglicht Überwachung mit geringem Overhead ohne User-Space-Overhead.
- Unterstützung externer Blocklisten automatisiert den Schutz vor Trackern und Bedrohungen.
- PWA-fähige Weboberfläche vereinfacht den Einsatz auf headless Servern.
- GPLv2-Offene Komponenten ermöglichen Anpassungen.
- Solide OpenSnitch-Alternative für Ein-Klick-Blockier-Workflows.
— Editorial Team
Noch keine Kommentare.