现在有一段时间我用CSF作为LFD的主要防火墙,OSSEC作为主要的IDS。 (我喜欢OSSEC对CSF反应过度的内脏IDS)。
我testing了它的小型DoS攻击,例如slowloris变种和synfloods。 工作正常。 Apache正在运行mod_security和mod_evasive。 工作正常。
在后端审计是看我的密码文件的变化,我有Clam AV运行作为主要的AV与LMD(Linux恶意软件检测)在夜间运行。 LSM正在监视所有守护进程的端口活动。
在服务器上运行的唯一可以上网的服务是TOR中继(非退出),Apache和SSHD。
问题:为什么我应该使用CSF过滤来自服务器的stream量?
除了pipe理哪些stream量被允许退出我的服务器之外,我找不到任何好处。 由于我没有其他用户使用我的服务器,黑客/破解者可以简单地使用任何开放的退出端口22,80,443,9001,9030,9595退出我的服务器; 为什么要过滤?
Meta:Centos 64b,LMD,Audit,CSF,LFD,OSSEC HIDS,ClamAV,LSM
PS:我忘了提到为什么我提出这个问题:Clamd想定期更新,似乎我不能设置传出端口。
过滤出口stream量(与CSF或其他)的原因是为了降低您的安全风险。 这在高度安全的威胁环境中尤其重要,例如共享的虚拟主机服务器,您无法完全控制用户安装的软件。
在这样的环境下,如果用户安装一个允许攻击者在服务器上执行任意代码的易受攻击的软件,采用默认的拒绝安全原则 ,过滤出口stream量会限制攻击者能够执行的操作。 例如,虽然您可能有一些开放的端口,但是如果出口25 / tcp被阻止,您的机箱上的非特权用户无法通过服务器上的MTA发送垃圾邮件。
在您的具体情况下,您必须决定将防火墙configuration移至默认的拒绝安全原则所需的工作量是否值得您花费时间。