多年来,我一直在运行 Postfix 来托管我的域的电子邮件,通常我已将垃圾邮件减少到可接受的水平(包括使用灰名单、SpamAssassin和DNSBL)。
我从未想过的一件事是为什么这么多垃圾邮件发送者试图将电子邮件发送到不存在的“十六进制”地址,格式为xxxxxxxx.xxxxxxxx@mydomain或有时只是xxxxxxxx@mydomain,其中 xxxx 是十六进制数字。
刚才的例子:
既然不可能存在这样的地址,那有什么意义呢?我的服务器以 550 错误拒绝它们,所以这没什么大不了的,但这似乎毫无意义。
奇怪的是,我不可能找到表明这会影响其他任何人的搜索结果,尽管很明显它必须如此。
我有一个运行 libvirt/kvm 和fail2ban(用于 SSH 攻击)的 Ubuntu 9.04 服务器。
libvirt 和 fail2ban 都以不同的方式与 iptables 集成。Libvirt 使用(我认为)一些 XML 配置,并在启动期间(?)配置转发到 VM 子网。Fail2ban 安装一个自定义链(可能在初始化时)并定期修改它以禁止/取消禁止可能的攻击者。
我还需要安装我自己的规则来将各种端口转发到在 VM 和其他机器上运行的服务器,并设置基本的安全性(例如,丢弃所有 INPUT 流量,除了我想要打开的少数端口),当然我想要无需重新启动即可安全地添加/删除规则的能力。
在我看来,iptables 是一个强大的工具,它非常缺乏某种标准化的方式来处理所有这些东西。每个项目和每个系统管理员似乎都以不同的方式做事!(而且我认为这里有很多“货物崇拜”管理员,人们克隆粗略的方法,如“使用 iptables-save 像这样”。)
如果没有弄清楚这两个(以及可能的其他)工具究竟如何操作 netfilter 表的血淋淋的细节,以及开发我自己的脚本或只是手动执行 iptables 命令,有没有办法在不破坏功能的情况下安全地使用 iptables这些其他工具?是否有任何新的标准或项目定义为该领域带来理智?即使是我错过的一个有用的网页,它可能至少涵盖了这两个包?