У меня скрипты iptables тянутся с 2000г., а ipfw с 2010г. Все вылизано руками. Cобираюсь переписать iptables на nftables.
Автогенераторы фаерволов не использовал. Писал свои правила на основе модуля recent и ipset для автоматической реакции сетевого экрана на атаки. Сами правила сетевого экрана изменятся не должны, иначе есть вероятность что вирь дыру для своих друзей откроет.В РФ есть опасный баг в подготовке специалистов по ИТ безопасности - не различают софт разработанный для удобства администрирования и софт для обеспечения безопасности. Докер это первое нет в нём гарантий изоляции. У меня скрипт, грубо говоря 10 строк на баше, создаёт/обновляет контейнер. И ещё один который обновляет все контейнеры в системе ещё на 10 строк. Обновил систему, поменял настройки, дёрнул скрипт и всё контейнеры свежие. Хочешь с консоли, по ssh или своей оркестровкой дергай. Hardeneed chroot даёт довольно сильные и очень дешовые гарантии изоляции.
Компы с биосом ещё есть. /boot & / шифрованы. Grub core.img с крыптографией для расшифровки /boot и публичным ключом для проверки цифровых подписей себя, kernel & initrd (где есть крыптография для расшифровки / и публичные ключи для IMA/EVM) устанавливается перед первым разделом за MBR, или если места там не хватает то в отдельный раздел BIOS grub. Атака на core.img даст возможность получить доступ к шифрованому /boot и ключу проверки подписей всего что в /boot... и так далее по цепочке загрузки. Это можно сделать удаленно. Чем раньше буткиты получает доступ в процессе загрузки тем больше у него возможностей для своего скрытия.
Флешку можно изменить, аппаратный перекльчатель флешки в режим только чтения сегодня редкость. CD-ROM гарантия неизменности данных. Но и с этим проблемы, мне сменили прошивка CD/DVD привода! Теперь приводы оптических дисков во время работы отключают.
