Moin, du da draußen. Setz dich mal mit mir an Deck, während der Wind uns um die Ohren pfeift, und lass uns 'ne Reise machen - durch den neuen Hafen von Little Snitch auf Linux. Dat Ding, wat viele aus den Mac-Gewässern kennen, hat nun den Sprung ins offene Linux-Meer gewagt. Die Entwickler von Objective Development haben dat klargemacht, weil immer mehr Segler vom einen zum anderen System wechseln und den vertrauten Ausguck vermisst haben. Heute erzähl ich dir, wie dat alles zusammenhängt, wat eBPF im Maschinenraum treibt und wie du den Wächter an Bord holst.
Schnapp dir 'nen Kaffee, dat wird 'ne ausführliche Fahrt mit technischem Tiefgang und 'nem klaren Blick auf die Strömungen. Los geht’s, volle Kraft voraus zum heutigen Klönschnack!
Der alte Ausguck lichtet den Anker
Woher weht der Wind?
Bevor wir den neuen Kurs auf Linux nehmen, müssen wir 'nen Blick zurückwerfen auf die alten Mac-Decks. Little Snitch is seit über zwanzig Jahren 'n fester Wachposten dort. Er zeigt dir jede auslaufende Verbindung, lässt dich Regeln setzen und blockt, wat nich durch darf. Kein blindes Vertrauen in Apps, die heimlich Datenfunksprüche absetzen. Auf Linux sah dat lange mau aus. Es gab offene Alternativen wie OpenSnitch, die sich am gleichen Prinzip orientierten, aber nich den gleichen Feinschliff hatten. Nun hat der Original-Ausguck dat Ruder übernommen.
Die Entwickler geben an, dat der Wechsel vieler Nutzer zu Linux sie dazu gebracht hat, 'ne native Version zu bauen. Dat is kein Zufall, sondern 'ne direkte Antwort auf 'ne wachsende Flotte von Linux-Seglern, die mehr Privatsphäre und Kontrolle wollen.
Die Technik im Tiefenraum
eBPF als smarter Sonar
Dat Herzstück is eBPF, der erweiterte Berkeley Packet Filter.
Stell dir dat vor wie 'nen unsichtbaren Tiefen-Sonar, der direkt im Kernel-Rumpf sitzt und jeden ausgehenden Verkehrsstrom scannt. Kein Umweg über User-Space, kein Risiko für den ganzen Schiffsrumpf. eBPF läuft sandboxed, also abgeschottet, und nutzt CO-RE, Compile Once Run Everywhere, damit dat auf verschiedenen Kernel-Versionen passt, ohne ständiges Nachbauen. Ab Kernel 6.12 mit BTF-Support – dat is die Metadata, die der Kernel für eBPF bereithält – läuft dat stabil. Der Daemon, geschrieben in Rust, nimmt die Signale vom eBPF-Modul und zeigt sie in 'ner Web-Oberfläche. Dat is nich 'ne native GUI, sondern 'n Browser-Fenster auf localhost:3031, wo du Regeln setzt, Blocklisten einbindest und den Verkehr in Diagrammen siehst.
Der Daemon selbst is proprietär, aber kostenlos, während eBPF-Teil und UI unter GPL2 offen auf GitHub liegen. Dat macht Überprüfung möglich, ohne dass du blind vertrauen musst.
Der Unterschied zu klassischen Firewalls is riesig.
Normale iptables oder nftables blocken nach Ports oder IPs. Little Snitch is anwendungsbezogen. Er weiß, welche App welchen Kurs nimmt, und du entscheidest per Signalflagge: immer erlauben, einmalig durchlassen oder komplett stoppen. Kein Deep-Packet-Inspection wie auf macOS, dat is auf Linux technisch nich so einfach drin, aber für Privatsphäre reicht dat vollkommen aus. Apps wie Firefox, die beim Start Telemetrie-Funksprüche absetzen, werden sofort sichtbar.
VSCode schickt Metrics, LibreOffice bleibt still – dat alles siehst du klar im Log.
Anlegen und Klarmachen
Die Installation Schritt für Schritt**
Dat Installation is unkompliziert, solange dein System die Voraussetzungen erfüllt.
Zuerst check den Kernel: Öffne 'n Terminal und tipp dat ein.
uname -r
Du brauchst mindestens 6.12 mit BTF. Auf Ubuntu 25.04 oder neuer, Debian 13, Mint 22 oder aktuellen Rolling-Releases wie Arch oder Manjaro klappt dat in der Regel. Auf Fedora gibt’s 'ne bekannte Panne mit Btrfs-Dateisystem in Version 1.0.0 – der Ausguck erkennt Prozesse nich richtig.
Die Entwickler arbeiten an 1.0.1, also warte da besser oder nutz ext4.
Geh auf die offizielle Download-Seite oder auf dem Github Source. Wähle dein Paket: .deb für Debian-basierte Systeme, .rpm für Fedora & Co., .pkg.tar.zst für Arch & Manjaro. Es gibt Varianten für x86_64, aarch64 und riscv64.
Lade die Datei runter, z.B. littlesnitch-1.0.0-x86_64.deb.
Für Debian/Ubuntu/Mint:
sudo dpkg -i littlesnitch-1.0.0-x86_64.deb
sudo apt install -f
Für Fedora/RHEL/openSUSE:
sudo dnf install littlesnitch-1.0.0-x86_64.rpm
Für Arch/Manjaro:
sudo pacman -U littlesnitch-1.0.0-x86_64.pkg.tar.zst
Danach startest du den Daemon.
Im Terminal:
littlesnitch --daemon
Oder einfach den Befehl littlesnitch eingeben, dat startet die Web-Oberfläche im Standard-Browser auf http://localhost:3031. Dort loggst du dich ein – standardmäßig offen, aber du kannst Authentifizierung aktivieren. Die Oberfläche zeigt alle laufenden Verbindungen, Prozesse und erlaubt Regeln per Klick. Du kannst Blocklisten wie Hagezi importieren, Traffic-History anschauen und sogar Diagramme für den gesamten Datenstrom erstellen.
Der Ausguck läuft im Hintergrund und meldet neue Kurse sofort.
Falls du den Daemon als Service willst, nutz systemd:
sudo systemctl enable littlesnitch-daemon
sudo systemctl start littlesnitch-daemon
Dat is dat ganze Klarmachen. Kein kompliziertes Kompilieren, keine Extra-Module außer dem Kernel-Support. Nach dem ersten Start scannt er den laufenden Verkehr und baut 'ne Liste auf.
Du kannst Regeln exportieren oder per Kommandozeile steuern.
Auf Wache im Linux-Meer
Wat der Ausguck leistet
Einmal an Bord zeigt sich der echte Wert. Dat Tool is primär auf Privatsphäre ausgelegt, nich auf harte Security. Es blockt ungewollte ausgehende Verbindungen, bevor sie den Hafen verlassen. Du siehst, ob 'ne App Telemetrie absetzt, Updates checkt oder heimlich Daten schickt. Im Test auf frischem Ubuntu liefen nur neun System-Prozesse über die Woche online – dat is 'n klarer Kontrast zu manch anderem System. Firefox verbindet sich direkt zu Mozilla-Servern mit Werbung und Telemetrie, bevor du überhaupt surfst. VSCode pingt Metrics.
Du setzt Regeln und hast Ruhe.
Die Web-UI macht dat übersichtlich. Du hast Tabs für aktuelle Verbindungen, Regeln, Blocklisten und Statistiken. Diagramme zeigen den Verkehrsfluss wie 'n Seekarte mit Strömungen. Remote-Zugriff is möglich, wenn du den Port freigibst und Auth einrichtest – ideal für Server, die du von unterwegs beobachten willst. Der Daemon loggt alles, was du brauchst, und du kannst per CLI Regeln ändern oder Events abfragen.
Verglichen mit OpenSnitch is dat hier polierter. OpenSnitch is voll open source und gut, aber der offizielle Little Snitch bringt den Feinschliff aus zwei Jahrzehnten macOS-Erfahrung mit. Kein ständiges Feintuning nötig, die Regeln sitzen sofort.
Klartext zu Grenzen und Stärken
Dat is nich alles Gold, wat glänzt. Auf Linux fehlt Deep-Packet-Inspection, also kann 'ne schlaue App den Ausguck umgehen, wenn sie den Prozess-Namen fälscht. eBPF is stark, aber nich unfehlbar. Die Btrfs-Panne auf Fedora zeigt, dat Version 1.0.0 noch jung is. Sicherheit is nich der Hauptzweck – dat Tool schützt vor ungewollten Datenlecks, nich vor gezieltem Angriff. Und es is nich open source im Kern, der Daemon bleibt proprietär.
Dat is 'n Trade-off, den du kennen musst.
Trotzdem: Für alle, die von macOS kommen oder einfach mehr Kontrolle wollen, is dat 'n echter Gewinn. Linux wird dadurch noch ein Stück privater, ohne dass du stundenlang Regeln basteln musst. Die Entwickler haben dat gemacht, weil sie selbst den Wechsel vollzogen haben und den alten Wächter vermissten.
Dat zeigt, dat Nachfrage den Kurs bestimmt.
Wo steuern wir hin – Die Zukunft im Blick
Little Snitch auf Linux is noch frisch, aber der Kurs is klar. Mehr Distros, bessere Kompatibilität, vielleicht erweiterte Features wie auf macOS. Die Community wird dat aufgreifen, Foren füllen sich schon mit ersten Berichten. Für Server, Desktops, sogar IoT-Geräte könnte dat 'n Standard werden. Dat freie Meer von Linux bekommt 'nen zuverlässigen Ausguck, der den Verkehr im Blick behält. Die Entwickler bleiben dran, Updates kommen.
Bleib wachsam, check immer die neueste Version und kernel-Kompatibilität.
Zum Schluss
Little Snitch hat den Sprung geschafft und bringt 'ne altbewährte Idee ins Linux-Gewässer. Mit eBPF im Rumpf und klaren Regeln an Deck gewinnst du Kontrolle zurück. Dat is kein Spielzeug, sondern 'n echtes Werkzeug für alle, die dat Netz nich blind durchpflügen wollen.
Logbucheintrag beendet.