一段时间以来,我一直使用 CSF 和 LFD 作为主要防火墙,并使用 OSSEC 作为主要 IDS。(与 CSF 反应过度的内置 IDS 相比,我更喜欢 OSSEC)。
我测试了它对 Slowloris 变体和 Synflood 等小型 DoS 攻击的防护。运行良好。Apache 运行着 mod_security 和 mod_evasive。运行良好。
在后端审计中,我监控着我的密码文件是否有变化,我将 Clam AV 作为主 AV 运行,同时在夜间运行 LMD(Linux 恶意软件检测)。LSM 正在监控所有守护进程的端口活动。
服务器上运行的唯一可通过互联网访问的服务是 TOR 中继(非出口)、Apache 和 SSHD。
问:为什么我应该使用 CSF 过滤从我的服务器传出的流量?
除了管理哪些流量可以退出我的服务器之外,我找不到任何其他好处。由于没有其他用户使用我的服务器,黑客/破解者可以简单地使用任何开放的退出端口 22、80、443、9001、9030、9595 退出我的服务器;为什么要过滤它?
元数据:Centos 64b、LMD、审计、CSF、LFD、OSSEC HIDS、ClamAV、LSM
附言:我忘了提及我提出这个问题的原因:Clamd 想要定期更新,但我似乎无法设置传出端口。
答案1
过滤出口流量(使用 CSF 或其他任何方式)的原因是为了降低您的安全风险状况。这在高安全威胁环境中尤其重要,例如共享网络托管服务器,您无法完全控制用户安装的软件。
在这样的环境中,如果用户安装了一个存在漏洞的软件,该软件允许攻击者在你的服务器上执行任意代码,默认拒绝安全理念过滤出口流量会限制攻击者的行为。例如,虽然您可能有一些打开端口,如果出口 25/tcp 被阻止,则您机器上的非特权用户必须经过服务器上的 MTA 才能发送垃圾邮件。
在您的特定情况下,您必须决定将防火墙配置转向默认拒绝安全理念所需的努力是否值得您花时间。