Little Snitch 来到 Linux，但核心逻辑是闭源的

Source: Hacker News

2026年4月9日

初步了解

本周，Linux 社区掀起了一阵小小的波澜。Little Snitch，这位久负盛名的 macOS 网络流量守门人，终于登陆我们的阵地。纸面上，它是一项令人印象深刻的工程。它利用 eBPF 实现高性能的内核级监控，并使用 Rust 编写，这足以让任何技术爱好者耳目一新。它甚至配备了华丽的网页 UI，方便那些更喜欢使用鼠标而非终端的用户。

专有核心逻辑

但当我仔细观察时，光鲜的外表开始剥落。虽然项目的部分是开源的，但核心逻辑——实际上决定阻止什么以及如何分析你的流量的“brain”——是闭源的。

为什么 FOSS 很重要

对于 FOSS 爱好者来说，这根本行不通。我们迁移到 Linux 并不是为了把一个专有的黑盒换成另一个。如果我无法审计位于我的二进制文件和互联网之间的代码，我就不感兴趣。要求盲目信任的安全工具是自相矛盾的。在我的家庭实验室里，如果代码不透明，二进制文件就不会被执行。就是这么简单。

现有解决方案

除了专有代码的哲学性“禁区”之外，我还有一个更实际的原因不再继续这个问题：我已经自己解决了它。

正如我之前在本博客的《The DNS Safety Net》中详细说明的那样，我的主要防御手段是 AdGuard Home。通过在 DNS 层面处理隐私，我拥有一个静默的、覆盖全网络的盾牌，能够在大多数遥测、跟踪器以及“回报”尝试离开我的 Proxmox 节点之前将其拦截。

运行一个集中式 DNS 阻断器在根本上比在每个虚拟机和容器上管理应用防火墙更高效。我不会在每次系统进程需要检查更新时被恼人的弹窗打断。我只需在网络边缘设置一次规则，整个网络——包括那些无法运行 Snitch 客户端的设备——都能受益。这是一个“一次设置，永久忘记”的解决方案，真正尊重我的时间和隐私。

应用层替代方案

即使在应用层，我已经有了更好的替代方案。对于本博客，我使用 Wordfence。它充当本地防火墙，直接在源头监控恶意流量和未授权的更改。在网络范围的 DNS 过滤和特定应用的安全之间，这些层已经存在。再在其中加入专有的二进制文件只会增加复杂性，却没有带来实质性的信任。

“高层”批评

现在，**“安全专家”**会告诉你，基于 DNS 的拦截器“层次太高”。他们会指出，它无法检测绕过 DNS 的直接 IP 连接。虽然这在技术上是正确的，但我必须问：在一个精心维护的 FOSS 环境中，这种情况真的会经常发生吗？即使真的发生，我真的想使用闭源工具来发现它吗？

开源替代方案：OpenSnitch

如果我需要追踪到底是哪一个具体的应用程序在进行可疑的外向连接，我会转向 OpenSnitch，这款完全开源、社区驱动的 Linux 应用防火墙。它没有新的 Little Snitch 移植版那样精致，但它的每一行代码都可以公开检查，且不需要盲目信任。

结论

Little Snitch 在 Linux 上的出现表明，主流已经开始意识到现代软件的“喋喋不休”特性。但我们并不需要引入 macOS 的专有文化来保持安全。我们有更好、更开放的方式来构建防护墙。

我的网络安静，日志干净，守门人是一段我自行托管的透明软件。除非出现一种既尊重我的隐私又符合我所遵循的 FOSS 精神的工具，否则这种状态不会改变。如果你对自己的数据很认真，就应该保持守门人开放，并在网络边缘进行控制。