我读到了很多超出我理解范围的内核漏洞。我想降低与此相关的问题的风险。
如果我在服务器上阻止除 SSH 之外的所有内容,这是否有助于在内核漏洞发生之前阻止它们,或者它们是否会在防火墙有机会丢弃流量之前暴露?
我想最终的安全性是在重要服务器前面放置一个单独的防火墙?
答案1
不,iptables 不能保护您免受内核漏洞的影响。实际上,iptables 也可能成为攻击媒介。还有其他地方可能会出现可利用的漏洞:
- 网络驱动程序。
- SSH 守护进程本身。
- 如果您的 sshd 配置了弱密码,并且有人设法对其进行暴力破解,则可以尝试本地权限提升漏洞。防火墙通常不太可能捕获此类攻击,因为它利用了应用程序漏洞。
保护自己免受这些影响的最佳方法是采取预防措施,例如不使用弱密码、除非必要,否则不要将主机暴露在互联网上、通过应用软件补丁保持最新状态等。