Некоторое время я использую CSF в качестве основного межсетевого экрана с LFD и OSSEC в качестве основного IDS. (Мне нравится OSSEC за чрезмерную реакцию встроенной IDS CSF).
Я тестировал его на небольшие DoS-атаки, такие как варианты slowloris и synfloods. Работает отлично. Apache работает с mod_security и mod_evasive. Работает отлично.
В бэкэнде аудит отслеживает изменения в моих файлах паролей, и у меня Clam AV работает в качестве основного AV вместе с LMD (обнаружение вредоносных программ Linux), работающим в ночное время. LSM отслеживает активность портов всех демонов.
единственными доступными из Интернета службами, работающими на сервере, являются TOR-relay (без выхода), Apache и SSHD.
Вопрос: Почему я должен фильтровать исходящий трафик с моего сервера с помощью CSF?
Я не могу найти никаких преимуществ, кроме управления тем, какой трафик может выходить с моего сервера. Поскольку у меня нет других пользователей, использующих мой сервер, и хакеры / взломщики могут просто использовать любой из открытых выходных портов 22,80,443,9001,9030,9595 для выхода с моего сервера; зачем его фильтровать?
мета: Centos 64b, LMD, Audit, CSF, LFD, OSSEC HIDS, ClamAV, LSM
P.S: Я забыл упомянуть, почему я задаю этот вопрос: Clamd хочет регулярно обновляться, и мне кажется, что я не могу установить исходящий порт.
Причина фильтрации исходящего трафика (с помощью CSF или чего-либо еще) заключается в том, чтобы уменьшить ваш профиль риска для безопасности. Это особенно важно в средах с высоким уровнем угроз безопасности, например, на сервере общего веб-хостинга, где у вас нет полного контроля над тем, какое программное обеспечение устанавливают пользователи.
В такой среде, если пользователь устанавливает уязвимое программное обеспечение, которое позволяет злоумышленнику выполнить произвольный код на вашем сервере, с по умолчанию запрещает философию безопасности, фильтрация исходящего трафика ограничивает возможности злоумышленника. Например, пока у вас может быть некоторые открытые порты, если исходящий 25 / tcp заблокирован, непривилегированный пользователь вашего ящика не сможет отправлять спам по электронной почте, не пройдя через MTA на сервере.
В вашем конкретном случае вы должны решить, стоит ли затраченное вами время на то, чтобы переместить конфигурацию вашего брандмауэра в сторону философии запрета безопасности по умолчанию.