LittleSnitch cho Linux: Công cụ giám sát mạng dựa trên eBPF

LittleSnitch cho Linux: Công cụ giám sát mạng dựa trên eBPF

Mỗi khi một ứng dụng trên máy tính của bạn mở kết nối mạng, nó thường thực hiện âm thầm mà không xin phép. LittleSnitch cho Linux giúp hoạt động này trở nên minh bạch, trao cho bạn quyền kiểm soát những gì đang diễn ra bên dưới hệ thống. Bạn có thể xem chính xác ứng dụng nào đang kết nối đến máy chủ nào, chặn những kết nối không mời mà đến và theo dõi lịch sử lưu lượng cũng như dung lượng dữ liệu theo thời gian.

Giao diện LittleSnitch cho Linux

Cách thức hoạt động và Giao diện

Sau khi cài đặt, bạn có thể khởi chạy giao diện người dùng bằng lệnh littlesnitch trong terminal hoặc truy cập trực tiếp vào http://localhost:3031/. Địa chỉ này có thể được lưu vào bookmark hoặc cài đặt dưới dạng Progressive Web App (PWA). Các trình duyệt dựa trên Chromium hỗ trợ tính năng này một cách tự nhiên, trong khi người dùng Firefox có thể thực hiện tương tự thông qua tiện ích mở rộng Progressive Web Apps.

Màn hình hiển thị kết nối (Connections View) là nơi diễn ra phần lớn các hoạt động quản lý. Nó liệt kê các hoạt động mạng hiện tại và trong quá khứ theo từng ứng dụng, hiển thị những gì đang bị chặn bởi các quy tắc và danh sách chặn của bạn, cũng như theo dõi dung lượng dữ liệu và lịch sử lưu lượng. Việc sắp xếp theo hoạt động gần nhất, dung lượng dữ liệu hoặc tên, cùng với tính năng lọc danh sách, giúp bạn dễ dàng phát hiện bất kỳ hoạt động bất thường nào. Chặn một kết nối chỉ cần một cú nhấp chuột đơn giản.

Biểu đồ lưu lượng ở phía dưới cho thấy dung lượng dữ liệu theo thời gian. Bạn có thể kéo để chọn một phạm vi thời gian, giúp phóng to và lọc danh sách kết nối để chỉ hiển thị hoạt động trong giai đoạn đó.

Blocklists và Quy tắc (Rules)

Blocklists cho phép bạn cắt đứt toàn bộ các danh mục lưu lượng không mong muốn cùng một lúc. LittleSnitch tải xuống chúng từ các nguồn từ xa và tự động giữ cho chúng luôn được cập nhật. Phần mềm chấp nhận các danh sách ở một số định dạng phổ biến: một domain trên mỗi dòng, một hostname trên mỗi dòng, kiểu /etc/hosts (địa chỉ IP theo sau là hostname) và các dải mạng CIDR. Các định dạng wildcard, regex hoặc glob pattern và dựa trên URL hiện không được hỗ trợ. Khi có sự lựa chọn, bạn nên ưu tiên các danh sách dựa trên domain (tên miền) thay vì dựa trên host vì chúng được xử lý hiệu quả hơn. Một số thương hiệu nổi tiếng bạn có thể tham khảo bao gồm Hagezi, Peter Lowe, Steven Black và oisd.nl.

Tuy nhiên, người dùng cần lưu ý rằng định dạng .lsrules từ phiên bản Little Snitch trên macOS không tương thích với phiên bản Linux.

Blocklists hoạt động ở mức độ domain, nhưng các quy tắc (Rules) cho phép bạn đi sâu hơn. Một quy tắc có thể nhắm đến một quy trình cụ thể, khớp các cổng hoặc giao thức cụ thể, và có thể rộng hẹp tùy theo nhu cầu của bạn. Màn hình quy tắc cho phép bạn sắp xếp và lọc chúng để dễ dàng quản lý khi danh sách phát triển.

Kiến trúc kỹ thuật và Cấu hình

Theo mặc định, giao diện web của LittleSnitch mở cho bất kỳ ai — hoặc bất kỳ thứ gì — đang chạy cục bộ trên máy của bạn. Về mặt lý thuyết, một ứng dụng hoạt động sai hoặc độc hại có thể thêm hoặc xóa quy tắc, can thiệp vào danh sách chặn hoặc tắt hoàn toàn bộ lọc. Nếu điều này khiến bạn lo ngại, LittleSnitch có thể được cấu hình để yêu cầu xác thực trong phần Cấu hình nâng cao.

LittleSnitch tích hợp vào ngăn xếp mạng của Linux bằng cách sử dụng eBPF, một cơ chế cho phép các chương trình quan sát và chặn các hoạt động trong nhân (kernel). Một chương trình eBPF sẽ giám sát các kết nối đi và cung cấp dữ liệu cho một daemon, từ đó theo dõi thống kê, xử lý trước các quy tắc và phục vụ giao diện web.

Mã nguồn cho chương trình eBPF và giao diện web đều được công khai trên GitHub. Giao diện người dùng cố tình chỉ hiển thị các cài đặt phổ biến nhất. Bất kỳ cấu hình kỹ thuật nào khác đều có thể thực hiện thông qua các tệp văn bản thuần túy, chúng sẽ có hiệu lực sau khi khởi động lại daemon littlesnitch.

Cấu hình mặc định nằm trong /var/lib/littlesnitch/config/. Bạn không nên chỉnh sửa các tệp này trực tiếp — hãy sao chép tệp bạn muốn thay đổi vào /var/lib/littlesnitch/overrides/config/ và chỉnh sửa tại đó. LittleSnitch sẽ luôn ưu tiên phiên bản override.

Quyền riêng tư hơn là Bảo mật

Một điểm quan trọng cần lưu ý là LittleSnitch cho Linux được xây dựng vì quyền riêng tư, không phải vì bảo mật hệ thống nghiêm ngặt, và sự phân biệt này rất quan trọng. Phiên bản macOS có thể đưa ra các đảm bảo mạnh mẽ hơn vì nó có thể xử lý độ phức tạp cao hơn. Trên Linux, nền tảng là eBPF, vốn mạnh mẽ nhưng có giới hạn: nó có các giới hạn nghiêm ngặt về kích thước lưu trữ và độ phức tạp của chương trình.

Dưới lưu lượng mạng nặng, các bảng cache có thể bị tràn, khiến việc gán mọi gói dữ liệu mạng cho một quy trình hoặc tên DNS một cách đáng tin cậy trở nên bất khả thi. Hơn nữa, việc tái tạo tên máy chủ nào ban đầu được tra cứu cho một địa chỉ IP nhất định yêu cầu các heuristic thay vì sự chắc chắn. Phiên bản macOS sử dụng kiểm tra gói sâu (deep packet inspection) để thực hiện việc này một cách đáng tin cậy hơn, nhưng đây không phải là một lựa chọn trên Linux.

Để theo dõi hoạt động của phần mềm của bạn và chặn các phần mềm hợp lệ "gọi về nhà" (phoning home), LittleSnitch cho Linux hoạt động rất tốt. Tuy nhiên, để gia cố hệ thống chống lại một đối thủ quyết liệt, đây không phải là công cụ phù hợp.

LittleSnitch cho Linux bao gồm ba thành phần. Chương trình nhân eBPF và giao diện web đều được phát hành theo Giấy phép Công cộng GNU phiên bản 2 và có sẵn trên GitHub. Daemon (littlesnitch --daemon) là phần mềm độc quyền, nhưng miễn phí sử dụng và phân phối lại.