Little Snitch untuk Linux

 (obdev.at)
2 poin oleh GN⁺ 2026-04-10 | 1 komentar | Bagikan ke WhatsApp
  • Alat untuk memvisualisasikan dan mengendalikan koneksi jaringan aplikasi, sehingga Anda dapat melihat program mana yang berkomunikasi dengan server mana
  • Di Connections View, lalu lintas real-time dan historis ditampilkan per aplikasi, dengan dukungan pemblokiran koneksi dan pelacakan penggunaan data hanya dengan satu klik
  • Melalui fitur Blocklists dan Rules, Anda dapat mengendalikan lalu lintas yang tidak diinginkan secara presisi berdasarkan kategori atau kondisi yang rinci
  • Secara internal menggunakan eBPF untuk memantau koneksi pada level kernel, dan menyediakan antarmuka berbentuk PWA melalui web UI
  • Bukan alat keamanan, melainkan alat yang berfokus pada privasi, cocok untuk memblokir komunikasi keluar dari perangkat lunak umum, tetapi terbatas untuk pertahanan terhadap serangan tingkat lanjut

Gambaran umum

  • Little Snitch for Linux adalah alat untuk memvisualisasikan dan mengendalikan koneksi jaringan aplikasi secara real-time
    • Anda dapat melihat aplikasi mana yang berkomunikasi dengan server mana
    • Menyediakan fungsi untuk memblokir koneksi yang tidak diinginkan, mencatat lalu lintas, dan melacak penggunaan data
  • Memerlukan Linux kernel 6.12 atau lebih baru dan dukungan kernel BTF
  • Web UI dapat diakses di http://localhost:3031/ dan dapat dipasang dalam bentuk PWA (Progressive Web App)

Pemantauan koneksi

  • Di Connections View, aktivitas jaringan saat ini dan masa lalu ditampilkan per aplikasi
    • Menampilkan item yang diblokir oleh aturan dan daftar blokir, penggunaan data, serta riwayat lalu lintas
    • Dapat diurutkan dan difilter berdasarkan aktivitas terbaru, jumlah data, dan nama
    • Koneksi dapat diblokir hanya dengan satu klik
  • Diagram lalu lintas di bagian bawah memvisualisasikan jumlah data seiring waktu
    • Jika Anda menyeret untuk memperbesar area tertentu, hanya aktivitas pada periode tersebut yang akan ditampilkan

Pengelolaan daftar blokir

  • Fitur Blocklists memungkinkan pemblokiran massal kategori lalu lintas yang tidak diinginkan
    • Dapat diunduh otomatis dari sumber jarak jauh dan selalu dijaga tetap mutakhir
    • Format yang didukung: satu baris per domain, satu baris per hostname, format /etc/hosts (IP + hostname), dan rentang jaringan CIDR

    • Wildcard, regex, glob, dan format berbasis URL tidak didukung

      • Demi efisiensi, disarankan menggunakan daftar berbasis domain
      • Contoh daftar: Hagezi, Peter Lowe, Steven Black, oisd.nl
      • Format .lsrules untuk macOS tidak kompatibel dengan versi Linux
      Iklan

Aturan kustom

  • Fitur Rules memberikan kontrol yang lebih rinci dibanding blocklist
    • Dapat dikonfigurasi per proses, port, dan protokol tertentu
    • Daftar aturan dapat diurutkan dan difilter
  • Melalui aturan, Anda dapat menyusun kebijakan kontrol jaringan yang detail

Keamanan akses

  • Secara default, antarmuka web dapat diakses oleh semua proses yang berjalan secara lokal
    • Ada kemungkinan aplikasi berbahaya dapat mengubah aturan, memodifikasi daftar blokir, atau menonaktifkan filter
  • Untuk mencegah hal ini, Anda dapat mengaktifkan persyaratan autentikasi
    • Pengaturan rinci dilakukan melalui konfigurasi lanjutan (Advanced configuration)

Struktur internal

  • Menggunakan eBPF untuk melakukan hooking ke Linux network stack
    • Program eBPF memantau koneksi keluar dan meneruskan data ke daemon
    • Daemon bertugas melacak statistik, memproses aturan, dan menyediakan web UI
    Iklan
  • Kode sumber program eBPF dan web UI tersedia secara publik di GitHub

Konfigurasi lanjutan

  • UI bawaan hanya menampilkan pengaturan utama, sedangkan pengaturan lanjutan dikonfigurasi melalui file teks
    • Setelah diubah, daemon littlesnitch perlu di-restart
  • Lokasi konfigurasi default: /var/lib/littlesnitch/config/
    • Jangan edit langsung; salin file yang ingin diubah ke /var/lib/littlesnitch/overrides/config/ lalu edit
    • Konfigurasi di direktori override selalu diprioritaskan
  • File konfigurasi utama
    • web_ui.toml: pengaturan alamat jaringan, port, TLS, dan autentikasi
      • Jika dapat diakses oleh banyak pengguna, autentikasi perlu diaktifkan
      • Jika diekspos di luar loopback, TLS tambahan diperlukan
    • main.toml: mengatur perilaku default untuk koneksi yang tidak cocok dengan aturan
      • Nilai default adalah allow, dan dapat diubah menjadi deny bila diperlukan
      • Salah konfigurasi berisiko membuat sistem tidak dapat diakses
    • executables.toml: aturan pengelompokan executable
      • Menghapus nomor versi agar beberapa versi aplikasi yang sama ditampilkan sebagai satu
      • Mendefinisikan hubungan induk untuk shell dan proses pengelola aplikasi
      • Terus ditingkatkan melalui umpan balik komunitas
    Iklan
  • Program eBPF dan web UI dapat diganti dengan versi build pengguna
    • Versi di direktori override akan diprioritaskan

Keterbatasan

  • Dirancang sebagai alat privasi, bukan alat keamanan
    • Lebih sederhana daripada versi macOS, dan memiliki keterbatasan fungsional karena batasan eBPF
  • eBPF memiliki batas ruang penyimpanan dan kompleksitas program, sehingga
    • Jika lalu lintas tinggi, tabel cache dapat penuh dan pemetaan antara paket, proses, dan nama DNS bisa menjadi tidak lengkap
    • Saat memulihkan hostname asli dari alamat IP, digunakan heuristik (heuristics)
    • Versi macOS melakukan pemetaan yang lebih akurat dengan deep packet inspection (DPI)
  • Cocok untuk memantau dan memblokir komunikasi keluar dari perangkat lunak umum, tetapi tidak cocok untuk pertahanan sistem terhadap penyerang tingkat lanjut

Lisensi

  • Terdiri dari 3 komponen
    • Program kernel eBPF dan web UI dirilis di bawah GNU GPL v2 dan tersedia di GitHub
    • Daemon (littlesnitch --daemon) bersifat proprietary, tetapi gratis digunakan dan dapat didistribusikan ulang

Bacaan terkait

1 komentar

 
GN⁺ 2026-04-10
Komentar Hacker News

  • Saya tidak memakai Little Snitch atau Open Snitch, tetapi saya penasaran apakah alat ini juga bisa memblokir permintaan yang menyalahgunakan program yang diizinkan
    Misalnya, jika suspicious.py memanggil Firefox untuk mengunggah data, saya ingin tahu apakah firewall bisa mencegahnya

    • Little Snitch for Linux mengevaluasi aturan dengan mempertimbangkan namespace proses dan proses induk secara bersamaan
      Jika skrip dijalankan dengan #!/bin/interpreter, aturan diterapkan ke path skrip, tetapi jika dijalankan dalam bentuk interpreter script, perilakunya berbeda
    • Ini tidak akan diblokir oleh aturan sederhana
      Di Open Snitch, pencocokan bisa dibuat lebih rinci berdasarkan apakah proses python termasuk dalam pohon induk, dan sebagainya
    • Jika mempertimbangkan pemuatan library atau manipulasi memori antarproses (misalnya OpenProcess, WriteProcessMemory, CreateRemoteThread), situasinya jadi jauh lebih rumit
      Firewall Windows lama seperti Outpost atau Zone Alarm menyediakan fitur Leak Control untuk mendeteksi perilaku seperti itu
    • Dengan memanfaatkan kebijakan MAC SELinux, akses setiap proses ke file dan port bisa dibatasi
      Sebagian besar distro menyertakan fitur ini, tetapi pengguna umum jarang mempelajari atau mengonfigurasikan aturannya

  • Saya mencobanya di Fedora 43, tetapi program itu memakai semua inti CPU dan gagal sambil meninggalkan log 50K baris
    Muncul error BPF_PROG_LOAD syscall returned Argument list too long

    • Pengembang mengatakan mereka belum mengujinya di Fedora
      Di VM ARM64 program bisa dimuat, tetapi tidak bisa mengidentifikasi proses
      Mereka sedang menyelidiki masalah kompatibilitas eBPF dan mengatakan butuh waktu karena sumber daya terbatas
    • Sudah ada issue GitHub yang dibuka
    • Menurut halaman unduhan resmi, ini tidak bekerja di filesystem Btrfs
      Karena filesystem bawaan Fedora adalah Btrfs, identifikasi proses tidak memungkinkan, dan perbaikan direncanakan pada versi 1.0.1
    • Saya juga mengalami masalah yang sama. CPU hanya terpakai setengahnya, tetapi web UI tidak berfungsi
    • Inilah yang disebut pengalaman Linux yang biasa. Candaan bahwa 2026 adalah tahun desktop Linux terdengar seperti lelucon

  • Sebagai pengguna Linux, saya menganggap keterbukaan kode itu penting
    Saya sudah cukup puas dengan kombinasi OpenSnitch + OpenSnitch-UI

  • Saya penasaran seberapa layak model alat berbayar di Linux
    Sebagian besar berbentuk gratis, berbasis donasi, atau model open-core
    Saya ingin tahu apakah Little Snitch merilis versi Linux secara gratis karena anggapan bahwa “di Linux tidak menghasilkan uang”, atau karena alasan lain

    • Komunitas Linux punya ketidakpercayaan kuat terhadap software tertutup
      Saya sendiri juga merasa tidak nyaman dengan program tertutup yang menangani traffic jaringan
      Sebagai gantinya, saya menyumbang ribuan dolar setiap tahun ke proyek FOSS
      Tetapi pengguna seperti ini sedikit, jadi sulit menghasilkan pendapatan dari model yang sepenuhnya open source
    • Karena OpenSnitch sudah ada dan gratis, alternatif berbayar jadi kurang meyakinkan
      Terutama untuk kode berhak istimewa tinggi seperti firewall, sulit dipercaya jika bukan open source
    • Pengembang Little Snitch for Linux mengatakan, “kami adalah tim independen kecil, bukan investor, dan keputusan ini adalah pilihan pribadi”
      Mereka bilang penasaran bagaimana hasilnya nanti
    • Motivasi pengembang dijelaskan dengan baik dalam posting blog resmi

  • Postingan blog terkait: Memperkenalkan Little Snitch for Linux

  • Dulu ada ZoneAlarm untuk Windows
    Saya selalu penasaran kenapa Linux tidak punya sesuatu seperti ini

    • Dulu saya pernah membuat sendiri program mirip ZoneAlarm untuk AmigaOS
      Setelah melihat kode Direwall, gaya C lama itu masih tetap ada
      Program itu bekerja dengan menambal library socket, dan saya penasaran apakah sekarang masih bisa dikompilasi
    • Kekuatan ZoneAlarm bukan hanya teknologinya, tetapi juga edukasi pengguna dan desain UX
      Pada awalnya ia banyak bertanya, tetapi setelah belajar akan menjadi tenang, dan struktur itu dijelaskan dengan jelas
      Karena itu pengguna mempercayainya, dan saya juga merekomendasikannya karena hal tersebut
    • Saat itu kebanyakan software adalah GNU sehingga spyware hampir tidak ada
      Ketika software komersial mulai masuk ke Linux, muncul keinginan untuk memantau jaringan
    • Saya masih ingat pernah memakai ZoneAlarm di awal 2000-an
    • Saya juga ingat Kerio Personal Firewall. Setelah itu saya pindah ke ZA atau Comodo, dan fitur eksekusi terisolasi sangat mengesankan
      Fitur itu bagus karena bisa membatasi eksekusi sembarangan di Windows

  • Saya sudah lama memakai Little Snitch dan menyetujui semua permintaan jaringan secara manual
    Tetapi saya bertanya-tanya seberapa jauh saya bisa memercayai program yang punya izin setingkat ekstensi kernel
    Karena hampir tidak ada informasi tentang perusahaan atau pengembangnya, saya jadi penasaran

    • Pengembang Little Snitch for Linux menjawab langsung
      Komponen eBPF dirilis sebagai open source GPLv2, dan bisa dicek di kode GitHub
      Namun daemon harus dijalankan dengan hak root, jadi perlu dibatasi dengan kontrol akses seperti SELinux
      Karena ini rilis pertama, mereka sedang menangani laporan bug dan mengatakan terkejut dengan beragamnya lingkungan Linux
    • Perusahaan ini adalah pengembang independen untuk Mac yang telah aktif lebih dari 20 tahun, dan Little Snitch sudah lama menjadi produk yang dicintai
    • Saya sedang ikut mengembangkan firewall FOSS untuk Android yang terinspirasi Little Snitch/OpenSnitch
      Di macOS, mereka memakai Network Extension API, bukan ekstensi kernel
      Jika tujuannya mengamati jaringan, ada juga GUI sniffer seperti Sniffnet

  • Selamat atas rilis port Linux-nya
    Sebagai alternatif yang sepenuhnya open source dan berbasis terminal, saya memperkenalkan RustNet yang saya pelihara
    Ini adalah alat pemantauan paket real-time berbasis TUI, bukan firewall, tetapi melakukan sandboxing sendiri melalui Landlock

    • Kelihatannya menarik, saya akan mencobanya nanti

  • Saya penasaran bagaimana perbandingannya dengan OpenSnitch
    OpenSnitch GitHub

    • Saya sudah mencoba Little Snitch, tetapi resolusi IP→domain hampir tidak berfungsi, dan identifikasi proses juga gagal
      Ini karena keterbatasan teknis versi Linux
      Karena berbasis eBPF, saat cache overflow pemetaan proses menjadi tidak mungkin, dan deep packet inspection seperti di macOS tidak bisa digunakan
      Ini dijelaskan lebih rinci di penjelasan resmi
    • Saya juga pernah memasang OpenSnitch, tetapi sekarang dalam keadaan nonaktif. Mungkin karena terasa melelahkan
    • Menurut blog pengembang, karena alat yang ada tidak menyediakan fungsi “melihat koneksi per proses dalam sekali pandang dan memblokirnya dengan satu klik”, mereka membuatnya sendiri
      Tulisan terkait
    • OpenSnitch sepenuhnya open source dan tidak ada langganan. Software memang seharusnya seperti itu

  • Saya cukup puas memakai OpenSnitch
    Tetapi akan bagus jika ada sistem plugin sehingga perilaku pengguna dan koneksi jaringan bisa dianalisis bersama, lalu hanya koneksi yang tak terduga yang muncul sebagai notifikasi
    Akan praktis juga jika ada wrapper auto-allow berbasis CLI sebagai pengganti popup