Tre*_*e77 16 security linux iptables
正如标题所述,我有一个 linux 盒子。据我所知,我可以使用 hosts.allow / hosts.deny 或 iptables 来保护。有什么不同?是否有另一种机制可以使用?
Kyl*_*ndt 22
IPTables 在内核级别工作。一般来说,这意味着它不了解应用程序或流程。大多数情况下,它只能根据从各种数据包头中获取的内容进行过滤。
然而,host.allow/deny 在应用程序/进程级别上运行。您可以为系统上运行的各种进程或守护程序创建规则。
例如,IPTables 可以在端口 22 上进行过滤。SSH 可以配置为使用这个端口,通常是,但它也可以配置为在不同的端口上。IPTables 不知道它在哪个端口上,它只知道 TCP 标头中的端口。然而,可以为某些守护程序(例如 openssh 守护程序)配置 hosts.allow 文件。
如果您必须选择,我通常会选择最少的 IPTables。我认为 hosts.allow 是一个不错的奖励。甚至认为守护进程级别似乎更容易 IPTables 会在数据包真正变得很远之前阻止它。有了安全性,您越早阻止某些东西越好。但是,我确信有些情况会改变这种选择。
| 归档时间: |
|
| 查看次数: |
5332 次 |
| 最近记录: |