如果 iptables 丢弃所有流量,是否有方法可以侵入机器?

如果 iptables 丢弃所有流量,是否有方法可以侵入机器?

假设我在一台空白的计算机上安装了 Linux(没有其他操作系统,磁盘已格式化为安装),并且在 iptables 中进行了如下配置:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

然后,这台机器直接连接到互联网(尽管没有流量进出,但互联网将无法运行)。

这台机器的安全性如何?有办法侵入这台机器吗?我们将“闯入”定义为从本机读取任何文件。

如果操作系统很重要,请随意比较使用最新的 Ubuntu Server 版本与仅安装基础版本的 Arch Linux 的表现。

答案1

我想说的是,在不完全断开网络电缆的情况下,您将获得尽可能的安全。我能想到的唯一可能受到攻击的方法是内核、iptables 模块或 NIC 驱动程序中存在错误。

答案2

最明显的一个是 IPv6,如果有一些易受攻击的服务器侦听该协议。任何其他网络协议都可能是罪魁祸首。

您无需丢弃所有 IPv4 流量来保护计算机免受远程攻击。不运行任何易受攻击的服务就足够了。在这方面,任何像样的操作系统的默认安装都很好。

如果您很偏执并且不相信您使用的软件没有明显的错误,那么就根本不要使用计算机。标准建议是保持其关闭,但这还不够:您的 BIOS 可能有一个错误的 LAN 唤醒(在这种情况下,关闭的计算机是可利用的,然后将其打开即可消除漏洞!)。

相关内容