我尝试强化我的服务器。为此,我遇到了一个普遍问题:我应该安装内核安全补丁,例如 selinux 和带有入侵检测防火墙的防病毒软件吗?将其结合起来或仅其中之一有意义吗?
我的意思是,这些补丁可以保护本地进程等,防止其变成僵尸进程或类似的东西。但我不认为这些补丁也能保护我的互联网连接,不是吗?
答案1
如果您担心系统完整性,那么SELinux或者网络安全(或各种类似的安全包)非常强大。不幸的是,掌握他们的政策绝非易事。 (不过,任何包含 SELinux 的体面发行版都会针对各种事物预定义策略。)Grsecurity 策略更容易创建,但仍然需要一些努力。 Grsecurity 比 SELinux 具有很大的优势,它具有多种系统强化措施,例如帕克斯,它提供了相当严格的内存保护。不利的一面是,Grsecurity 并不是 Linux 的正式一部分,也永远不会成为 Linux 的一部分(出于政治原因),因此只有少数发行版提供 Grsecurity 的集成。
我的个人的观点:反病毒的整个概念完全是烂的,因为它们本质上只不过是需要经常更新的巨大黑名单。因此,它们会变得越来越大,并且无法保护您免受 0day 攻击。我个人相信封装和遏制,这就是 SELinux、Grsecurity 等所实现的。
IDS/IPS 在某种程度上很有用,只要您能保持简单(例如使用 iptables、fail2ban 或 aide)。 “高端”IDS/IPS 的工作方式与 AV 类似,因此我的观点也适用于它们。