서버를 강화해 보았습니다. 이를 위해 일반적인 질문이 있습니다. 침입 탐지 방화벽과 함께 selinux 및 바이러스 백신과 같은 커널 보안 패치를 설치해야 합니까? 그것들을 결합하는 것이 합리적입니까, 아니면 그 중 하나만을 결합하는 것이 합리적입니까?
내 말은, 이 패치는 로컬 프로세스 등이 좀비 프로세스 등이 되는 것을 방지한다는 뜻입니다. 하지만 이 패치가 내 인터넷 연결도 보호할 수는 없을 것 같아요. 그렇죠?
답변1
시스템 무결성이 우려되는 경우SELinux또는사이버 보안(또는 다양한 유사한 보안 패키지)은 매우 강력합니다. 불행하게도 그들의 정책을 파악하는 것은 쉬운 일이 아닙니다. (그러나 SELinux를 포함하는 괜찮은 배포판에는 다양한 사항에 대한 사전 정의된 정책이 있습니다.) Grsecurity 정책은 생성하기 쉽지만 여전히 약간의 노력이 필요합니다. Grsecurity는 SELinux에 비해 큰 장점을 가지고 있으며 다음과 같은 다양한 시스템 강화 조치를 가지고 있습니다.공원, 이는 상당히 엄격한 메모리 보호를 제공합니다. 단점은 Grsecurity가 공식적으로 Linux의 일부가 아니며 (정치적 이유로) 절대 그럴 수 없기 때문에 소수의 배포판에서만 Grsecurity 통합을 제공한다는 것입니다.
내 거개인의의견: 안티 바이러스의 전체 개념은 완전히 썩었습니다. 본질적으로 자주 업데이트해야 하는 거대한 블랙리스트에 지나지 않기 때문입니다. 결과적으로 그들은 점점 더 커지고 제로데이 공격으로부터 사용자를 보호하지 못합니다. 저는 개인적으로 SELinux, Grsecurity 등이 달성하는 캡슐화와 봉쇄를 믿습니다.
IDS/IPS는 단순하게 유지하는 한(예: iptables, fall2ban 또는 aide 사용) 어느 정도 유용합니다. "하이엔드" IDS/IPS는 AV와 유사하게 작동하므로 내 요점은 AV에도 적용됩니다.