核心安全和 IDS Firewall + AV 一起還是不？

我嘗試強化我的伺服器。為此，我有一個普遍的問題：我應該安裝核心安全更新檔，如 selinux 和帶有入侵檢測防火牆的防病毒軟體嗎？將其組合或僅將其中之一組合起來是否有意義？

我的意思是，眾所周知，這些更新檔可以保護程序等本地事物不變成殭屍或類似的東西。但我不認為，這些更新檔也能保護我的 Internet 連接，是嗎？

如果您關心系統完整性，那麼selinux或grsecurity（或各種類似的安全包）非常強大。不幸的是，掌握他們的政策絕非易事。（不過，任何包含 SELinux 的體面的發行版都會為各種事物預先定義策略。）Grsecurity 策略更容易創建，但仍需要一些努力。與 SELinux 相比，Grsecurity 有一個很大的優勢，它帶有幾個系統強化措施，比如pax，它提供了非常嚴格的記憶體保護。不利的一面是，Grsecurity 不是 Linux 的正式組成部分，也永遠不會成為（出於，嗯，政治原因），因此只有少數發行版提供 Grsecurity 的集成。

我個人的觀點：AV 的整個概念完全是爛的，因為它們本質上只不過是需要經常更新的巨大黑名單。正因為如此，它們變得越來越大，並且無法保護您免受 0-day 攻擊。我個人相信封裝和遏制，這是 SELinux、Grsecurity 等實現的。

IDS/IPS 在某種程度上是有用的，只要你能保持簡單（比如使用 iptables、fail2ban 或 aide）。“高端”IDS/IPS 像 AV 一樣工作，因此我的觀點也適用於它們。

引用自：https://unix.stackexchange.com/questions/180580