Little Snitch trên Linux: Một giải pháp bảo mật "hộp đen" cho một vấn đề đã được giải quyết

Little Snitch, "người gác cổng" uy tín cho lưu lượng mạng trên macOS, đã chính thức có mặt trên hệ điều hành Linux. Trên giấy tờ, đây là một kỹ thuật ấn tượng khi sử dụng eBPF để giám sát cấp hạt nhân (kernel-level) với hiệu suất cao và được viết bằng ngôn ngữ Rust. Nó thậm chí còn sở hữu giao diện web hiện đại cho những người thích dùng chuột hơn là terminal.

Tuy nhiên, khi soi kỹ hơn, lớp vỏ hào nhoáng bắt đầu bong tróc. Mặc dù một phần dự án là mã nguồn mở, nhưng logic cốt lõi — "bộ não" quyết định chặn gì và phân tích lưu lượng như thế nào — lại là mã nguồn đóng (proprietary).

Hộp đen bảo mật

Đối với một người yêu thích FOSS (Phần mềm tự do và mã nguồn mở), đây hoàn toàn là một điểm dừng chân không thể chấp nhận. Chúng ta không chuyển sang Linux chỉ để thay thế một "hộp đen" độc quyền này bằng một "hộp đen" khác. Nếu tôi không thể kiểm toán mã nguồn nằm giữa các tệp nhị phân của mình và internet, tôi không hề quan tâm đến nó. Một công cụ bảo mật yêu cầu sự tin tưởng mù quáng là một nghịch lý.

Ngoài vấn đề triết lý về mã nguồn đóng, còn có một lý do thực tế hơn khiến tôi bỏ qua công cụ này: Tôi đã giải quyết vấn đề này từ trước rồi.

Tại hệ thống cá nhân của mình, tuyến phòng thủ đầu tiên là AdGuard Home. Bằng cách xử lý quyền riêng tư ở cấp độ DNS, tôi có một lá chắn mạng im lặng, bắt giữ phần lớn các telemetry, trình theo dõi và các nỗ lực "gọi về nhà" trước khi chúng rời khỏi các node Proxmox của tôi.

Việc chạy một trình chặn DNS tập trung về cơ bản hiệu quả hơn nhiều so với việc quản lý tường lửa ứng dụng trên từng máy ảo và container. Tôi không bị làm phiền bởi các cửa sổ bật lên phiền phức mỗi khi quy trình hệ thống cần kiểm tra cập nhật. Tôi đặt quy tắc một lần tại biên mạng, và toàn bộ mạng của tôi, bao gồm cả các thiết bị không thể chạy client Snitch, đều được hưởng lợi.

Ngay cả ở cấp độ ứng dụng, tôi đã có những giải pháp thay thế tốt hơn. Ví dụ, Wordfence hoạt động như một tường lửa cục bộ, giám sát lưu lượng độc hại ngay tại nguồn. Giữa việc lọc DNS toàn mạng và bảo mật cụ thể cho ứng dụng, các lớp bảo vệ đã có sẵn. Thêm một tệp nhị phân độc quyền vào hỗn hợp này chỉ làm tăng độ phức tạp mà không mang lại sự tin tưởng có ý nghĩa.

Các chuyên gia bảo mật có thể lập luận rằng trình chặn kiểu DNS là "quá cấp cao". Họ chỉ ra rằng nó không thể thấy các kết nối IP trực tiếp bỏ qua DNS. Mặc dù đúng về mặt kỹ thuật, nhưng tôi phải tự hỏi: trong một môi trường FOSS được quản lý tốt, việc đó thực sự xảy ra bao nhiêu lần? Và nếu có, tôi có thực sự muốn sử dụng một công cụ mã nguồn đóng để tìm ra nó không?

Nếu tôi từng cần theo dõi ứng dụng cụ thể nào đang tạo kết nối outbound đáng ngờ, tôi sẽ chuyển sang OpenSnitch, tường lửa ứng dụng mã nguồn mở hoàn toàn cho Linux. Nó có thể không bóng bẩy như bản port Little Snitch mới, nhưng mọi dòng code đều mở để kiểm tra và nó không yêu cầu sự tin tưởng mù quáng.

Sự xuất hiện của Little Snitch trên Linux là dấu hiệu cho thấy dòng chính cuối cùng cũng nhận thức được tính "nói chuyện" (chatty) của phần mềm hiện đại. Nhưng chúng ta không cần nhập khẩu văn hóa độc quyền của macOS để giữ an toàn. Chúng ta có những cách tốt hơn, cởi mở hơn để xây dựng bức tường thành của mình.

Mạng của tôi im lặng, nhật ký của tôi sạch sẽ, và người gác cổng của tôi là một phần mềm minh bạch mà tôi tự host. Cho đến khi một công cụ ra đời tôn trọng cả quyền riêng tư và tinh thần FOSS mà tôi theo đuổi, điều đó sẽ không thay đổi.