我在 Mac 上启用了 pfctl,但在我重启笔记本电脑后,它就被禁用了。我注意到,有时当笔记本电脑启动到桌面时,pfctl 会启用,然后又被禁用。
我如何才能找出哪个应用程序/服务/...禁用了 pfctl?是否有相关日志文件(以及位于何处)?
有没有比 pfctl 更好的替代方案,以便我可以阻止一些端口?
我只有几个可以立即启动的应用程序:docker、istats、open vpn、express vpn、tunnelbrick、alfred4、Kitematic、Logitech mouse app
答案1
你可以检查一下Lulu防火墙https://objective-see.com/products/lulu.html。
网络监控 根据设计,LuLu 仅监控传出的网络连接。Apple 的内置防火墙可以很好地阻止未经授权的传入连接。
规则 目前,LuLu 仅支持“进程级别”的规则,这意味着进程(或应用程序)要么被允许连接到网络,要么被禁止。与其他防火墙一样,这也意味着如果合法(允许)进程被恶意代码滥用来执行网络操作,则将允许此操作。
单个用户 目前,LuLu 仅可供单个用户安装。未来版本可能会允许多个用户在同一系统上安装。
自我防御 合法攻击者/安全专家知道,如果被专门针对,任何安全工具都可能被轻易绕过 - 即使该工具采用了先进的自我防御机制。这种自我防御机制通常实施起来很复杂,而且最终几乎总是徒劳无功。因此,LuLu(目前)在设计上实施了一些自我防御机制。例如,攻击者可以枚举所有正在运行的进程以找到负责显示警报的 LuLu 组件并终止它(通过 sigkill)。