[Sysadmins] безопасность

[Sergei Boudnik]

Artem Zolochevskiy пишет:

> компьютер большую часть времени подключен к интернет. на нём крутятся
> vsftpd,apache,postfix,popa3d. Я верно понимаю, что чтоб обезопасить себя
> снаружи я имею 2 пути
> 1. запретить iptables INPUT на необходимые порты

Правильнее будет разрешить то, что нужно, а по-умолчанию сделать DROP

> 2. просто настроить сервисы на слушание определённых интерфейсов (чтоб не
> слушали интернет_нитерфейс).

Там, где сервисы это умеют - обязательно ограничить их настройками.
> 
> Что предпочтительнее?

Оба метода только дополняют друг-друга, а не заменяют.

> Я так понимаю, во втором случае от iptables вообще можно отказаться?

А вот этого делать крайне не рекомендуется. Лучше изучите возможности 
iptables, и тогда подобные мысли у Вас уже возникать не будут.

> Что есть толкового почитать на это тему, чтоб кратко и по теме?

http://gazette.linux.ru.net/rus/articles/index-iptables-tutorial.html
> 
> вопрос возник после того, как только что подняв машину завёл пользователя
> admin c паролем admin (думал когда закончу работу поменяю) поставил ssh

А вот так никогда больше не делайте. Ну, Вы сами теперь знаете :)


-- 

WBR, Sergei Boudnik
http://www.boudnik.kiev.ua
--------------------------
Tel: +38050 3584082
ICQ UIN: 56809672
SSB-RIPE
SSB1-UANIC
==========================> hi all
 >
 > Скажу сразу, я не спец по безопасности...
 >
Trap for spam & virii:
trap на wildlist.org.ua