Как стать автором
Обновить

Комментарии 19

iptables в 2022 это актуальненько конечно. Во всех основных дистрибутивах он уже deprecated де-юре. Де-факто его не рекомендовали к использованию уже года четыре.

RHEL 9, Debian 11, etc...

И чем же его заменили? Уж не firewalld ли, которой совершенно неожиданно ... обертка для iptables

по ссылке же есть: nftables

В чём профит nftables? Насколько правила, им заданные, работают быстрее чем iptables? А если у меня в iptables 1000 подсеток для блокировки, nftables с ними же будет быстрее или как?

Google?

Судя по описанию - должно стать быстрее. На мой взгляд, самое лучшее, что он предлагает - это настройка всего в одном месте (iptables и ip6tables (и ebtables до кучи), что бесило невероятно!).

Если в кратце то да. Это примерно, как глоток холодной воды в пустыне.

PS

<dushnila_mode>

Фирвол это netfilter, а iptables - это утилита для его настройки

</dushnila_mode>

Конкретно для приведённого примера nftables действительно лучше. Это одна из его сильных сторон. Он позволяет добавлять/удалять строки правил без перечитывания остальных и гораздо быстрее. Ещё может оптимизировать эти списки, объединять, задавать диапазонами, масками и т.п. (такой нативный ipset на стероидах).

Строить небольшой роботизированный SDN на iptables - мазохизм. А вот nftables вполне тянет.

Для блокировки лучше сразу использовать одно правило и ipset в том числе и с iptables.

firewalld - это обёртка для утилиты iptables

Запретить вход под пользователем /root/ параметром PermitRootLogin

Во-первых , что за пользователь такой "/root/"? Что за слеши в имени?
Во-вторых, ставим это в рекомендации, но сами игнорируем и во всех примерах с libpam-google-authenticator ломимся на сервер именно под рутом. Красавцы, чо!

Плюс к этому — какие-то пробелы в ненужных местах (например, ssh root@ 192.169.0.236), верхний регистр в имени файла (vim /etc/ssh/sshd_conFig), в котором этого быть не должно...

Попадается вторая статья одного автора за день и второй раз — непрофесионализм.

Горшочек, не вари!!!

Что за слеши в имени? ... какие-то пробелы в ненужных местах ... верхний регистр в имени файла

А вдруг так и надо? Чтобы нельзя было просто скопировать непонятные заклинания? </s>

Так. А что делать с "безопасностью в Linux", если на Linux-десктопе нет "SSH-сервера"? ?

Приставить бойца с винтовкой :)

  1. Установить ssh-server

  2. Настроить авторизацию по ключам

Теперь ваш десктоп защищен!

Запретить вход по паролю параметром Password/Authentication в config-е SSH-сервера

Всегда интересовало, чем ключ лучше 20-символьного пароля?

Тем, что в отличии от пароля он хранится в виде файла и может быть похищен?

чем ключ лучше

Много чем.

Одной учетной записи можно сопоставить сколько угодно ключей. Каждому ключу можно прописать дополнительные ограничения. Приватный ключ можно подпереть паролем. Можно засунуть в агент авторизации.

А 20 символьный пароль тоже будет храниться в виде файла ;)

А ещё его можно сгенерировать внутри смарт-карты, откуда он никогда не будет скопирован.

Снова перезапустим sshd:

root@vm:~# vim /etc/pam.d/sshd

Зарегистрируйтесь на Хабре, чтобы оставить комментарий