wlf Asked: 2013-08-05 01:17:21 +0800 CST2013-08-05 01:17:21 +0800 CST 2013-08-05 01:17:21 +0800 CST 关闭没有服务运行的端口的优势 772 关闭没有服务运行的端口是否有优势? 在 iptables 级别终止连接而不是接下来会做什么(我猜是操作系统),我可以获得什么。 linux 3 个回答 Voted Best Answer Francois Wolmarans 2013-08-05T01:40:38+08:002013-08-05T01:40:38+08:00 我会走另一条路线并封锁所有端口。在您需要服务时打开它们。这样做的好处是,如果您在不知不觉中启动了一项服务,您的机器就不会受到攻击。 BillThor 2013-08-05T07:12:06+08:002013-08-05T07:12:06+08:00 优点是您可以安全地使用该端口。许多程序将使用伪随机端口,或者可以编程为使用端口。在任何一种情况下,如果您不关闭端口,它们可能会被其他主机访问。 正如弗朗索瓦所说,封闭式政策更安全。从关闭所有端口开始,然后在适当的方向打开您需要的端口。需要您没有或不想要本地服务器的服务是很常见的。DNS 通常是必需的,但您不需要允许传入请求。正确的网络功能需要几种 ICMP 类型 (3,4,11),但可以安全地阻止其他类型。有选择地启用 (8) 是很常见的,如果数据包被接受echo,这应该启用传入的echo-reply(0) 消息。related 大多数防火墙构建器(例如Shorewall)将在其示例或默认规则集中允许这些端口。 Imlach 2013-08-07T10:23:52+08:002013-08-07T10:23:52+08:00 正如其他答案所述,通常封闭的政策比仅锁定某些服务更安全。 例如,假设您安装了一个 rouge 服务,该服务开始监听一个随机端口,然后打电话回家。编写该软件的黑帽人可能会通过他们的服务执行未经请求的操作。
我会走另一条路线并封锁所有端口。在您需要服务时打开它们。这样做的好处是,如果您在不知不觉中启动了一项服务,您的机器就不会受到攻击。
优点是您可以安全地使用该端口。许多程序将使用伪随机端口,或者可以编程为使用端口。在任何一种情况下,如果您不关闭端口,它们可能会被其他主机访问。
正如弗朗索瓦所说,封闭式政策更安全。从关闭所有端口开始,然后在适当的方向打开您需要的端口。需要您没有或不想要本地服务器的服务是很常见的。DNS 通常是必需的,但您不需要允许传入请求。正确的网络功能需要几种 ICMP 类型 (3,4,11),但可以安全地阻止其他类型。有选择地启用 (8) 是很常见的,如果数据包被接受
echo,这应该启用传入的echo-reply(0) 消息。related大多数防火墙构建器(例如Shorewall)将在其示例或默认规则集中允许这些端口。
正如其他答案所述,通常封闭的政策比仅锁定某些服务更安全。
例如,假设您安装了一个 rouge 服务,该服务开始监听一个随机端口,然后打电话回家。编写该软件的黑帽人可能会通过他们的服务执行未经请求的操作。