Problembehandlung und FAQ
Prozesse erscheinen als „Nicht identifiziert“
Little Snitch identifiziert einen Prozess, indem es beobachtet, wie er startet. Prozesse, die schon laufen, wenn der Daemon gestartet wird, können deshalb nicht immer identifiziert werden.
- Direkt nach der Installation ist das zu erwarten. Starte den Computer neu, damit der Daemon läuft, bevor deine Anwendungen starten.
- Ausführbare Skripte (Dateien mit
#!in der ersten Zeile) können nur dann korrekt zugeordnet werden, wenn der Daemon beim Start des Skripts bereits läuft. Echte Binärdateien lassen sich meist auch erkennen, während sie bereits laufen. - Falls ausführbare Dateien auf Btrfs betroffen sind, stelle sicher, dass du eine aktuelle Version von Little Snitch verwendest. Frühe Versionen hatten in diesem Bereich Fehler.
Little Snitch startet nicht, oder das eBPF-Programm wird abgelehnt
Wenn eBPF-Programme nicht geladen werden können, äußert sich das meist als Neustart-Schleife. Der littlesnitch-Daemon bricht mit einem Fehler ab, und systemd startet ihn sofort neu. Das erzeugt eine hohe CPU-Last, die dir meist auffällt, weil die Lüfter hochdrehen.
Überprüfe die Voraussetzungen aus Installation und Voraussetzungen:
- Kernel 6.12 oder neuer:
uname -r. Auch für brandneue Kernel gibt es keine Garantie. - BTF-Unterstützung: Das Verzeichnis
/sys/kernel/btf/muss existieren. - Unterstützung für Function Tracer: Der Kernel muss mit
CONFIG_FUNCTION_TRACER=ygebaut sein. - Gehärtete Kernel, die den Helfer
bpf_probe_read_kernel()entfernen, werden nicht unterstützt.
Beachte außerdem: Auf Systemen mit weniger als 16 GB Arbeitsspeicher werden die eBPF-Programme nacheinander geladen, was den Start verlängert. Bei manchen Kernel-Versionen benötigt Little Snitch ebenfalls zusätzliche Startzeit. Gib ihm einen Moment, bevor du auf einen Fehlschlag schließt.
Wenn der Daemon protokolliert, dass eine angeforderte Sicherheitsfunktion nicht aktiviert werden konnte, bricht er absichtlich ab, anstatt stillschweigend fortzufahren. Mit den Kommandozeilenoptionen --no_capability_sandbox und --no_file_sandbox kannst du die betroffene Funktion explizit deaktivieren, falls deine Umgebung sie nicht unterstützt.
Verbindungen zeigen IP-Adressen statt Namen, oder falsche Namen
Die Namenserkennung hängt davon ab, dass Little Snitch deine DNS-Abfragen sehen kann. DNS-Caches und DNS-Verschlüsselung verbergen sie. Sieh dir den Abschnitt zur DNS-Sichtbarkeit in den Erweiterten Themen an, insbesondere:
- Entferne das Schlüsselwort
resolveaus derhosts:-Zeile in/etc/nsswitch.conf. - Deaktiviere DNS over HTTPS in Browsern und aktiviere stattdessen verschlüsseltes DNS in systemd-resolved.
Falsche Namen kommen selten vor, liegen aber in der Natur der Technik: Mehrere Namen können auf dieselbe IP-Adresse verweisen, und Little Snitch zeigt den zuletzt abgefragten an.
Ich habe mich mit einer Verbieten-Standardaktion selbst ausgesperrt
Wenn du die Standardaktion in main.toml auf „Verbieten“ geändert und dadurch den Netzwerkzugriff verloren hast, kannst du das mit lokalem Zugriff auf den Rechner beheben: Entferne oder korrigiere deine Override-Datei unter /var/lib/littlesnitch/override/config/ und starte den Daemon neu:
sudo systemctl restart littlesnitch
Wenn du den Rechner per Fernzugriff administrierst, teste eine Verbieten-Standardaktion nur mit einer griffbereiten Rückfallebene, zum Beispiel einem geplanten Job, der Little Snitch stoppt, sofern du ihn nicht abbrichst.
Der falsche Prozess wird als übergeordneter Prozess angezeigt, oder ein Hilfsprozess erscheint, wo die App stehen sollte
Die Erkennung des übergeordneten Prozesses ist heuristisch und konfigurierbar. Wenn „system-helper via deine-app“ angezeigt wird, du aber deine-app als Eintrag auf oberster Ebene haben möchtest, füge den Hilfsprozess dem App-Manager-Abschnitt von executables.toml hinzu. Kopiere die Datei zuerst in das Override-Verzeichnis, siehe Erweiterte Konfiguration.
Eine Anwendung erscheint nach jedem Update als neuer Eintrag
Der Pfad der ausführbaren Datei enthält vermutlich eine Versionsnummer oder eine sich ändernde Kennung des Einhängepunkts, die von den mitgelieferten Normalisierungsmustern nicht erfasst wird. Füge in executables.toml im Override-Verzeichnis ein passendes Muster hinzu. Wie die Normalisierung funktioniert, erfährst du unter Erweiterte Themen. Teile gerne Muster mit uns, die auch anderen helfen könnten.
Kann ich meine Regeln von Little Snitch für macOS importieren?
Nein. Die Formate .lsbackup (Sicherung von Regeln und Konfiguration) und .lsrules (entfernte Regelgruppen) sind mit der Linux-Version nicht kompatibel.
Wo bekomme ich Hilfe?
- Der Issue-Tracker befindet sich im GitHub-Repository.
- Für alles andere wende dich an den Support von Objective Development.
War dieser Eintrag hilfreich? Hinterlass uns Feedback.
© 2016-2026 Objective Development Software GmbH