Amenaza: su máquina Linux se ve comprometida de alguna manera (aplicación no confiable o paquete o actualización de instalación comprometida, o una aplicación está comprometida debido a una vulnerabilidad, etc.) y algo en su sistema intenta "llamar a casa". Así que quieres evitar la llamada, básicamente neutralizando la vulnerabilidad. Lo vería porque podría ver una notificación que dice "Gimp desea conectarse a example.com en el puerto 80: permitir, permitir una vez, negar?". Creo que tiene sentido como defensa, ¿no?
Sin embargo, aparentemente, si no me equivoco, no hay formas fáciles de hacer esto en Linux, y no se han desarrollado aplicaciones populares y confiables para este propósito (busqué en Google y encontré varias preguntas sobre esto incluso aquí en stackexchange) . Se han desarrollado aplicaciones como AppArmor o SeLinux para controlar qué archivos puede usar un proceso, pero no se ha hecho lo mismo para las conexiones de red. En Windows, tales aplicaciones son muy comunes y forman parte de los cortafuegos. ¿Hay alguna razón por la que nunca haya sido lo mismo en Linux? No creo que configurar las conexiones de red permitidas pueda ser más difícil que configurar los archivos permitidos en AppArmor o SeLinux, por lo que no puede ser una cuestión de usabilidad.
Tengo que decir que tal vez he encontrado una manera de eludir tales métodos. La mayoría de los usuarios probablemente tendrán que establecer una regla que permita que el navegador se conecte a cualquier host en el puerto 80. Por lo tanto, el malware podría intentar copiarse dentro del navegador (parcheando o como un complemento), y entonces sería gratis conectarse en cualquier lugar en el puerto 80. Sin embargo, no creo que esto intente evitar conexiones no confiables totalmente inútiles. Por el mismo razonamiento, el malware puede parchar a AppArmor o sus reglas para que esté libre de hacer lo que quiera, pero esto no hace que AppArmor sea totalmente inútil.