一段时间以来,我一直在使用 CSF 作为主防火墙和 LFD,并使用 OSSEC 作为主 IDS。(我喜欢 OSSEC 而不是 CSF 的过度反应内置 IDS)。
我测试了它的小型 DoS 攻击,例如 slowloris 变体和 synfloods。工作正常。Apache 使用 mod_security 和 mod_evasive 运行。工作正常。
在后端审计中,我正在观察我的密码文件是否有更改,我将 Clam AV 作为主 AV 与夜间运行的 LMD(linux 恶意软件检测)一起运行。LSM 正在监视所有守护进程的端口活动。
在服务器上运行的唯一可访问互联网的服务是 TOR 中继(非退出)、Apache 和 SSHD。
问题:为什么我应该使用 CSF 过滤来自我的服务器的传出流量?
除了管理允许哪些流量退出我的服务器外,我找不到任何优势。由于我没有其他用户使用我的服务器,黑客/破解者可以简单地使用任何开放的退出端口 22,80,443,9001,9030,9595 退出我的服务器;为什么要过滤它?
元:Centos 64b、LMD、审计、CSF、LFD、OSSEC HIDS、ClamAV、LSM
PS: 忘了说为什么提这个问题了:Clamd要定时更新,貌似不能设置出端口。
过滤出口流量(使用 CSF 或其他任何东西)的原因是为了降低您的安全风险状况。这在高安全威胁环境中尤为重要,例如共享网络托管服务器,您无法完全控制用户安装的软件。
在这样的环境中,如果用户安装了一个易受攻击的软件,允许攻击者在您的服务器上执行任意代码,默认拒绝安全理念,过滤出口流量会限制攻击者的能力。例如,虽然您可能有一些开放端口,但如果出口 25/tcp 被阻止,则您机器上的非特权用户无法在不通过服务器上的 MTA 的情况下发送垃圾邮件。
在您的特定情况下,您必须决定将防火墙配置向默认拒绝安全理念移动所需的工作量是否值得您花时间。