# Linux 版 Little Snitch:eBPF 应用网络活动监控
开发者 Christian Starkjohann 发布了 Little Snitch 的 Linux 版本——一款用于精细控制应用网络活动的工具。该解决方案使用 eBPF 在内核层面检查流量,并提供 Web 界面进行管理。它支持 Linux 内核 6.12 及更高版本。后台守护进程使用 Rust 编写,采用专有许可,允许免费分发。
架构与组件
核心是一个加载到内核中的 BPF 处理程序,用于拦截网络数据包。它实时分析应用连接。littlesnitch-daemon 处理事件并管理规则。
- 开源组件 (GPLv2):eBPF 程序、函数库、Web 界面——可在 GitHub 上获取。
- 专有守护进程:littlesnitch-daemon——免费使用和分发。
Web 界面运行在 http://localhost:3031/,并支持 PWA 模式,可作为独立应用使用。
监控与屏蔽功能
该工具可视化当前连接:主机、流量大小、活动历史。屏蔽按 IP、子网和域名进行。
功能:
- 为可信应用创建白名单。
- 导入并自动更新外部屏蔽列表(oisd.nl 等),用于广告、跟踪器、遥测、钓鱼。
- 一键屏蔽不需要的连接。
这让中高级开发者能够在工作环境中强制执行严格控制,而不会牺牲性能。
与 OpenSnitch 的比较
OpenSnitch 是一个开源替代品,具有针对新连接的交互式对话框。然而,据 Starkjohann 称,它无法覆盖所有场景:
| 功能 | Linux 版 Little Snitch | OpenSnitch |
|---------|--------------------------|------------|
| eBPF 支持 | 是 | 部分 |
| 一键屏蔽 | 是 | 否 |
| 带 PWA 的 Web 界面 | 是 | 否 |
| 自动更新屏蔽列表 | 是 | 有限 |
Little Snitch 专注于便捷的进程监控,而无需持续弹出窗口。
安装与要求
该项目需要内核 6.12+。安装涉及加载 BPF 模块并启动守护进程。Web 界面在启动后立即可用。对于生产环境,为关键服务配置白名单。
关键要点
- eBPF 提供低开销监控,无需用户空间开销。
- 外部屏蔽列表支持自动化防护跟踪器和威胁。
- 支持 PWA 的 Web 界面简化了无头服务器上的部署。
- GPLv2 开源组件支持自定义。
- 一键屏蔽工作流中 OpenSnitch 的可靠替代品。
— Editorial Team
暂无评论。