edeshina Oct 19 2022 at 10:27

Безопасность в Linux

8 min

31K

Слёрм corporate blogConfiguring Linux*System administration*DevOps*

Comments 19

erty3 Oct 19 2022 at 11:19

iptables в 2022 это актуальненько конечно. Во всех основных дистрибутивах он уже deprecated де-юре. Де-факто его не рекомендовали к использованию уже года четыре.

RHEL 9, Debian 11, etc...

laminar Oct 19 2022 at 11:29

И чем же его заменили? Уж не firewalld ли, которой совершенно неожиданно ... обертка для iptables

-2

ogost Oct 19 2022 at 11:49

по ссылке же есть: nftables

mpa4b Oct 19 2022 at 15:12

В чём профит nftables? Насколько правила, им заданные, работают быстрее чем iptables? А если у меня в iptables 1000 подсеток для блокировки, nftables с ними же будет быстрее или как?

-1

Semy Oct 19 2022 at 18:33

Google?

Судя по описанию - должно стать быстрее. На мой взгляд, самое лучшее, что он предлагает - это настройка всего в одном месте (iptables и ip6tables (и ebtables до кучи), что бесило невероятно!).

karabanov Oct 20 2022 at 00:40

Если в кратце то да. Это примерно, как глоток холодной воды в пустыне.

<dushnila_mode>

Фирвол это netfilter, а iptables - это утилита для его настройки

</dushnila_mode>

erty3 Oct 25 2022 at 15:08

Конкретно для приведённого примера nftables действительно лучше. Это одна из его сильных сторон. Он позволяет добавлять/удалять строки правил без перечитывания остальных и гораздо быстрее. Ещё может оптимизировать эти списки, объединять, задавать диапазонами, масками и т.п. (такой нативный ipset на стероидах).

Строить небольшой роботизированный SDN на iptables - мазохизм. А вот nftables вполне тянет.

Stanislavvv Oct 27 2022 at 17:45

Для блокировки лучше сразу использовать одно правило и ipset в том числе и с iptables.

erty3 Oct 28 2022 at 10:48

Нет, не лучше. Во-первых ipset медленнее nftables, во-вторых он так же deprecated https://access.redhat.com/solutions/6974000

karabanov Oct 20 2022 at 00:43

firewalld - это обёртка для утилиты iptables

-1

onix74 Oct 19 2022 at 13:45

Запретить вход под пользователем /root/ параметром PermitRootLogin

Во-первых , что за пользователь такой "/root/"? Что за слеши в имени?
Во-вторых, ставим это в рекомендации, но сами игнорируем и во всех примерах с libpam-google-authenticator ломимся на сервер именно под рутом. Красавцы, чо!

Плюс к этому — какие-то пробелы в ненужных местах (например, ssh root@ 192.169.0.236), верхний регистр в имени файла (vim /etc/ssh/sshd_conFig), в котором этого быть не должно...

Попадается вторая статья одного автора за день и второй раз — непрофесионализм.

Горшочек, не вари!!!

+11

iig Oct 20 2022 at 08:32

Что за слеши в имени? ... какие-то пробелы в ненужных местах ... верхний регистр в имени файла

А вдруг так и надо? Чтобы нельзя было просто скопировать непонятные заклинания? </s>

ryo_oh_ki Oct 19 2022 at 15:30

Так. А что делать с "безопасностью в Linux", если на Linux-десктопе нет "SSH-сервера"? 😉

ValeriyFilatov Oct 19 2022 at 20:59

Приставить бойца с винтовкой :)

iig Oct 20 2022 at 08:33

Установить ssh-server
Настроить авторизацию по ключам

Теперь ваш десктоп защищен!

Moraiatw Oct 20 2022 at 20:49

Запретить вход по паролю параметром Password/Authentication в config-е SSH-сервера

Всегда интересовало, чем ключ лучше 20-символьного пароля?

Тем, что в отличии от пароля он хранится в виде файла и может быть похищен?

iig Oct 21 2022 at 10:28

чем ключ лучше

Много чем.

Одной учетной записи можно сопоставить сколько угодно ключей. Каждому ключу можно прописать дополнительные ограничения. Приватный ключ можно подпереть паролем. Можно засунуть в агент авторизации.

А 20 символьный пароль тоже будет храниться в виде файла ;)

kfs Oct 24 2022 at 14:03

А ещё его можно сгенерировать внутри смарт-карты, откуда он никогда не будет скопирован.

YupiRex Oct 21 2022 at 04:14

Снова перезапустим sshd:

root@vm:~# vim /etc/pam.d/sshd