Zurück zur Startseite

Little Snitch Linux: eBPF-Verkehrsüberwachung

Little Snitch für Linux verwendet eBPF zur Überwachung und Blockierung ausgehender Verbindungen mit Prozessbindung. Web-Interface bietet bequeme Steuerung, Unterstützung für Blocklisten und benutzerdefinierte Regeln. Das Tool setzt auf Datenschutz, mit offenem eBPF-Modul und kostenlosem Daemon.

Little Snitch unter Linux: volle Kontrolle über ausgehenden Verkehr
Advertisement 728x90

Little Snitch für Linux: eBPF-Firewall mit Prozessüberwachung und Traffic-Blockierung

Little Snitch ist jetzt auch für Linux verfügbar und nutzt eBPF, um alle ausgehenden Netzwerkverbindungen abzufangen. Der Daemon sammelt Verkehrsdaten direkt anhand spezifischer Prozesse – ohne dass Kernel-Modifikationen nötig sind. Eine Web-Oberfläche unter localhost:3031 zeigt Echtzeitaktivitäten an: aktive Verbindungen, Historienprotokolle und Datenverkehrsvolumina. Filtern Sie nach Prozessname, Aktivitätslevel oder Bandbreite, um verdächtiges Verhalten schnell zu erkennen. Mit einem Klick können Sie den Datenverkehr blockieren, und die Regeln werden für zukünftige Sitzungen gespeichert.

Verkehrsgraphen visualisieren Lastspitzen und ermöglichen es Ihnen, Zeitintervalle gezielt für tiefgehende Analysen auszuwählen. Dies ist besonders wichtig für mittlere bis erfahrene Entwickler, die Server oder Desktops verwalten, bei denen App-Telemetriedaten unkontrolliert abfließen.

Benutzerdefinierte Regeln und Blocklisten-Konfiguration

Benutzerdefinierte Regeln

Regeln werden über TOML-Konfigurationen im Verzeichnis /var/lib/littlesnitch/config/ definiert. Überschreibungsdateien in /var/lib/littlesnitch/overrides/ haben Vorrang, was das Testen sicher macht, ohne die Basiskonfiguration zu gefährden. Beispiel: Alle Firefox-Traffic erlauben, aber ausgehende Verbindungen eines bestimmten CLI-Tools blockieren.

Google AdInline article slot

Blocklisten

Vorab integrierte Listen: Hagezi, Peter Lowe, Steven Black, oisd.nl. Unterstützte Formate: Domain pro Zeile, /etc/hosts und CIDR. Hinweis: .lsrules-Dateien von macOS sind nicht kompatibel – eine Umwandlung ist für den Umstieg erforderlich.

  • Prozessbasierte Blockierung: Basiert auf PID/Ausführbare Datei, nicht auf IP-Adressen.
  • Port-/Protokollsteuerung: Fein granulare TCP/UDP-Filterung.
  • Historie & Statistiken: Verfolgung der übertragenen Bytes und Anfragehäufigkeit pro Domain.
  • PWA-Unterstützung: Die Oberfläche als eigenständige App in Chromium oder Firefox installierbar.

Kompromiss: Unter hoher Last begrenzt eBPF die Cachegröße, was die Genauigkeit der Paketzuordnung reduziert – doch der Datenschutz bleibt nahezu zu 100 % gewährleistet.

Architektur und Kompromisse

eBPF-Programme im Kernel senden Metadaten an den Daemon, der diese aggregiert und Filter anwendet. Im Gegensatz zu macOS gibt es keine Deep-Packet-Inspection – die Linux-Version konzentriert sich auf Verbindungs-Metadaten (Prozess-ID, Zielport/Domain). Bei hoher Belastung (Tausende Verbindungen pro Sekunde) können eBPF-Maps voll werden, wodurch einige Pakete ihre Zuordnung verlieren.

Google AdInline article slot

Vorteile von eBPF: Kopierfreier Datentransfer, minimaler Overhead, gut skalierbar auf Mehrkernsystemen.

Einschränkungen: Starke Beschränkungen hinsichtlich Programmgröße (bis zu 1 MB nach JIT), keine Payload-Inspection. Die Entwickler betonen: Dies ist ein Datenschutz-Tool, kein Schutz gegen gezielte Angriffe. Für Produktivumgebungen sollte es mit nftables kombiniert werden.

Server-Deployment ohne GUI: Zugriff per SSH-Tunnel (ssh -L 3031:localhost:3031) oder nginx Reverse Proxy. Keine Abhängigkeiten von grafischen Oberflächen – der Daemon läuft im Hintergrund unauffällig.

Google AdInline article slot

Lizenzierung und Anpassungsmöglichkeiten

  • eBPF-Modul: GPLv2, Quellcode auf GitHub.
  • Web-Oberfläche: GPLv2, Open Source.
  • Daemon: Proprietär, kostenlos für persönliche und kommerzielle Nutzung.

TOML-Konfiguration ermöglicht Skripting: Automatisierte Regelverwaltung mit Ansible oder Chef. Wichtig für erfahrene Entwickler, die Telemetrie-Steuerung in CI/CD-Pipelines oder Kubernetes-Pods benötigen, wo Container ungefilterten Datenverkehr generieren.

Wichtige Erkenntnisse

  • eBPF ermöglicht prozessbasierte Überwachung ohne Kernel-Module und mit geringem Overhead.
  • Web-UI + PWA für Komfort; Headless-Modus für Server.
  • Blocklisten und Regeln decken 90 % der datenschutzorientierten Anwendungsfälle ab – ersetzen jedoch keine DPI.
  • Vollständig kostenlos, im Gegensatz zur €59-Version für macOS.
  • Kompromiss: Geringere Genauigkeit bei extrem hoher Last aufgrund eBPF-Beschränkungen.

— Editorial Team

Advertisement 728x90

Weiterlesen