Комментарии 19
И чем же его заменили? Уж не firewalld ли, которой совершенно неожиданно ... обертка для iptables
по ссылке же есть: nftables
В чём профит nftables? Насколько правила, им заданные, работают быстрее чем iptables? А если у меня в iptables 1000 подсеток для блокировки, nftables с ними же будет быстрее или как?
Google?
Судя по описанию - должно стать быстрее. На мой взгляд, самое лучшее, что он предлагает - это настройка всего в одном месте (iptables и ip6tables (и ebtables до кучи), что бесило невероятно!).
Если в кратце то да. Это примерно, как глоток холодной воды в пустыне.
PS
<dushnila_mode>
Фирвол это netfilter, а iptables - это утилита для его настройки
</dushnila_mode>
Конкретно для приведённого примера nftables действительно лучше. Это одна из его сильных сторон. Он позволяет добавлять/удалять строки правил без перечитывания остальных и гораздо быстрее. Ещё может оптимизировать эти списки, объединять, задавать диапазонами, масками и т.п. (такой нативный ipset на стероидах).
Строить небольшой роботизированный SDN на iptables - мазохизм. А вот nftables вполне тянет.
Для блокировки лучше сразу использовать одно правило и ipset в том числе и с iptables.
Нет, не лучше. Во-первых ipset медленнее nftables, во-вторых он так же deprecated https://access.redhat.com/solutions/6974000
firewalld - это обёртка для утилиты iptables
Запретить вход под пользователем /root/ параметром PermitRootLogin
Во-первых , что за пользователь такой "/root/"? Что за слеши в имени?
Во-вторых, ставим это в рекомендации, но сами игнорируем и во всех примерах с libpam-google-authenticator ломимся на сервер именно под рутом. Красавцы, чо!
Плюс к этому — какие-то пробелы в ненужных местах (например, ssh root@ 192.169.0.236
), верхний регистр в имени файла (vim /etc/ssh/sshd_conFig
), в котором этого быть не должно...
Попадается вторая статья одного автора за день и второй раз — непрофесионализм.
Горшочек, не вари!!!
Так. А что делать с "безопасностью в Linux", если на Linux-десктопе нет "SSH-сервера"? ?
Запретить вход по паролю параметром Password/Authentication в config-е SSH-сервера
Всегда интересовало, чем ключ лучше 20-символьного пароля?
Тем, что в отличии от пароля он хранится в виде файла и может быть похищен?
чем ключ лучше
Много чем.
Одной учетной записи можно сопоставить сколько угодно ключей. Каждому ключу можно прописать дополнительные ограничения. Приватный ключ можно подпереть паролем. Можно засунуть в агент авторизации.
А 20 символьный пароль тоже будет храниться в виде файла ;)
Снова перезапустим sshd:
root@vm:~# vim /etc/pam.d/sshd
Безопасность в Linux