Non ne sono sicuro. dovrebbe eseguire nella modalità kernel per evitare che alcuni programmi in modalità utente uccidano / sospendano il firewall e facciano il suo lavoro sporco.
Il malware non sarebbe in grado di uccidere il firewall anche se fosse in grado di ottenere privilegi più elevati.
Spero in una spiegazione approfondita sia per Windows (si consideri un firewall generico) sia per le macchine Linux.
Grazie e buona giornata.
iptables è un programma in modalità utente che funge da interfaccia per gli hook Netfilter che il kernel di Linux fornisce . In base alla sua definizione, non può essere eseguito in modalità kernel in quanto è un programma in modalità utente progettato per interfaccia con un insieme di kernel hook.
iptables può essere modificato solo dall'utente root . Se un pezzo di malware riesce a elevare i privilegi così in alto, sei fregato comunque. È impossibile (o almeno quasi impossibile) da difendere da un utente root malintenzionato.
La risposta di Terry è corretta, la protezione da un utente root dannoso non è possibile.
Ulteriori informazioni:
iptables è il programma a riga di comando userspace usato per configurare il set di regole per il filtraggio dei pacchetti Linux e successivi (usato per interfacciare su netfilter che è il lato del kernel del firewall). Netfilter è un insieme di ganci all'interno del kernel Linux che consente ai moduli del kernel di registrare le funzioni di callback con lo stack di rete. Una funzione di callback registrata viene quindi richiamata per ogni pacchetto che attraversa il rispettivo hook all'interno dello stack di rete.
Su Windows questo è il WFP (Windows Filtering Platform). Windows Filtering Platform (WFP) è un insieme di servizi API e di sistema che forniscono una piattaforma per la creazione di applicazioni di filtraggio di rete. L'API WFP consente agli sviluppatori di scrivere codice che interagisce con l'elaborazione dei pacchetti che si svolge su diversi livelli nello stack di rete del sistema operativo. I dati di rete possono essere filtrati e modificati anche prima che raggiunga la sua destinazione. L'API WFP è costituita da un'API in modalità utente e un'API in modalità kernel. Questa sezione fornisce una panoramica dell'intero WFP e descrive in dettaglio solo la parte in modalità utente dell'API WFP.
Leggi altre domande sui tag linux permissions iptables