一段时间以来,我一直在使用 CSF 作为主防火墙和 LFD,并使用 OSSEC 作为主 IDS。(我喜欢 OSSEC 而不是 CSF 的过度反应内置 IDS)。
我测试了它的小型 DoS 攻击,例如 slowloris 变体和 synfloods。工作正常。Apache 使用 mod_security 和 mod_evasive 运行。工作正常。
在后端审计中,我正在观察我的密码文件是否有更改,我将 Clam AV 作为主 AV 与夜间运行的 LMD(linux 恶意软件检测)一起运行。LSM 正在监视所有守护进程的端口活动。
在服务器上运行的唯一可访问互联网的服务是 TOR 中继(非退出)、Apache 和 SSHD。
问题:为什么我应该使用 CSF 过滤来自我的服务器的传出流量?
除了管理允许哪些流量退出我的服务器外,我找不到任何优势。由于我没有其他用户使用我的服务器,黑客/破解者可以简单地使用任何开放的退出端口 22,80,443,9001,9030,9595 退出我的服务器;为什么要过滤它?
元:Centos 64b、LMD、审计、CSF、LFD、OSSEC HIDS、ClamAV、LSM
PS: 忘了说为什么提这个问题了:Clamd要定时更新,貌似不能设置出端口。