15 votos

¿Cuál es la diferencia entre la seguridad de linux utilizando el cuadro de los ejércitos.[allow|deny] vs iptables?

Como dice el título, tengo un cuadro de linux. Como lo que puedo decir que puedo usar hosts.permitir / hosts.negar o iptables para asegurar. ¿Cuál es la diferencia? Hay otro mecanismo que puede ser utilizado?

22voto

Kyle Brandt Puntos 50907

IPTables funciona en el nivel del Núcleo. En general, esto significa que no tiene conocimiento de las aplicaciones o procesos. Sólo se puede filtrar en base a lo que recibe de las distintas cabeceras de paquetes para la mayor parte.

El host.permitir/denegar sin embargo opera en la aplicación/nivel de proceso. Puede crear reglas para los diversos procesos o los demonios se ejecutan en el sistema.

Así, por ejemplo IPTables puede filtrar en el puerto 22. SSH puede ser configurado para utilizar este puerto y, en general, pero también puede ser configurada para estar en un puerto diferente. IPTables no sabe a qué puerto está activado, sólo sabe acerca de el puerto en el encabezado TCP. Los anfitriones.permitir que los archivos, sin embargo puede ser configurado para ciertos demonios tales como el demonio openssh.

Si usted tiene que elegir me suele optar por un mínimo de IPTables. Puedo ver los anfitriones.permitir como un buen bono. Aunque parece que el demonio niveles parece más fácil de IPTables va a bloquear el paquete antes de que realmente incluso llega muy lejos. Con la seguridad de que cuanto antes se puede bloquear algo mejor. Sin embargo, estoy seguro de que hay situaciones, sin embargo, que el cambio esta elección.

0voto

James L Puntos 4068

iptables bloquea el acceso antes de que llegue a la aplicación, mientras que los ejércitos.permitir/hosts.negar, es parte de la PAM y requiere de la aplicación a implementar PAM comprobar y manejar correctamente el archivo. Ambos son útiles, y teniendo en su lugar es incluso mejor.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: