Minaccia: la tua macchina Linux viene compromessa in qualche modo (app non sicura, pacchetto di installazione o aggiornamento compromesso, o un'app viene compromessa a causa di una vulnerabilità, ecc.) e qualcosa sul tuo sistema cerca di "chiamare casa". Quindi vuoi evitare la chiamata, sostanzialmente neutralizzando la vulnerabilità. Lo vedresti perché potresti vedere una notifica che dice "Gimp vuole connettersi a example.com sulla porta 80: consentire, consentire una volta, negare?". Penso che abbia senso come difesa, vero?
Tuttavia, a quanto pare, se non mi sbaglio, non ci sono modi semplici per farlo su Linux, e non sono state sviluppate applicazioni popolari e attendibili (ho cercato su Google e ho trovato diverse domande a riguardo anche qui su stackexchange) . Applicazioni come AppArmor o SeLinux sono state sviluppate per controllare quali file possono essere utilizzati da un processo, ma lo stesso non è stato fatto per le connessioni di rete. Su Windows tali applicazioni sono molto comuni e fanno parte dei firewall. C'è una ragione per cui lo stesso non è mai stato comune su Linux? Non penso che la configurazione delle connessioni di rete consentite possa essere più difficile della configurazione dei file consentiti in AppArmor o SeLinux, quindi non può essere una questione di usabilità.
Devo dire che forse ho trovato un modo per eludere tali metodi. La maggior parte degli utenti probabilmente dovrà impostare una regola che permetta al browser di connettersi a qualsiasi host sulla porta 80. Pertanto il malware potrebbe semplicemente provare a copiare se stesso all'interno del browser (patch o come plugin), e quindi sarebbe libero di connettersi ovunque sulla porta 80. Tuttavia, non penso che questo faccia tentare di evitare connessioni non fidate del tutto inutili. Con lo stesso ragionamento, il malware potrebbe applicare AppArmor o le sue regole per essere libero di fare ciò che vuole, ma questo non rende completamente AppArmor inutile.