С этой задачей могут справиться таблицы IP. По сути, это брандмауэр.
В большинстве Linux-систем по умолчанию установлены iptables. Однако вы можете установить его вручную:
apt-get install iptabels
Вы можете настроить его, Разрешить только локальному узлу доступ к портам и службам , реализуя следующее:(Это делает процессы доступными только для узла, на котором они выполняются.)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Отсюда вы можете добавить разрешения для других портов и сервисов. Если вам нужен Интернет на этой машине, пока вы ищете службы и порты, которые вы хотите разрешить, и как это сделать, еще не используйте iptables -P OUTPUT DROP
, поместите это в последнюю очередь. Вот хорошие сайты для обучения:
Примеры Iptables
Разрешить только SSH
Чтобы сохранить брандмауэр между загрузками, установите iptables-persistent
, затем выполните iptables-persistent save
или netfilter-persistent save
.
Выполнение первого описанного здесь процесса сделает вашу машину доступной только для нее самой. Только метод SSH разрешает только SSH-подключения к машине и только из локальной сети, если только вы не перенаправляете порт -SSH-порта с вашего маршрутизатора на эту машину извне, тогда все, что вам нужно, это diydns или нет -. ] ip type service или постоянно знать свой публичный IP, чтобы получить доступ извне.
Выполнение действий, описанных в ссылке Разрешить только SSH , а затем перенаправление портов через туннель ssh к службе, является более безопасным.Он разрешает только SSH-соединения. Однако лучше всего использовать аутентификацию на основе ключей, а не пароли.
Вы можете заранее изучить содержимое пакетов, даже не скачивая их; см. apt-file
и его команду list
.
Однако это никогда не даст вам полной картины, и вы не сможете составить полную картину изменений, сделанных произвольным пакетом, не установив его. :Пакеты могут отправлять сценарии сопровождающих, которые выполняют дополнительные изменения. Это означает, что пакет может создать каталог, и это не будет видно из метаданных пакета, и вы можете обнаружить это, только проанализировав сценарии сопровождающего, принимая во внимание все их побочные -эффекты и эффекты зависимостей пакета.
В вашем сценарии, я подозреваю, вам понадобится двухэтапный -подход:
--autoremove
, чтобы также были удалены все автоматически -установленные зависимости ).