すべての Linux システムの最初の防御およびデバイス分離層は、以下を介してすべての着信接続を拒否するファイアウォールです。
sudo ufw default deny incoming
...しかし、時々他の理由で(テスト、最初のアップデート、バックアップノートブックなど)、最新のアップデートなしで古いコンピュータを使用することがあります。数ヶ月が経過し、時にははるかに古いものがあります。 Linuxファイアウォールの更新が不足して問題になりますか?ネットワークインターフェイスまたはファイアウォールのエラーはどのくらいの頻度で発生し、どのくらい重要ですか?
(ちょっとした調査をしましたが、有用な結果はありません。「ファイアウォールには穴があります。注意してください」という一般的な記事はほとんどなく、本当に古いCVEもほとんどありません。
ベストアンサー1
ufw は iptables のフロントエンドです。他のソフトウェアと同様に、ufwやiptablesには何らかの方法で脆弱な欠陥がある可能性があります。ところでリストを見るとiptablesの既知のソフトウェア脆弱性、ほとんどが構成プロセス中に問題に関連していることがわかります。これは、一部のプロセスまたは誰かがiptablesを使用してより多くのダメージを与える可能性がありますが、システムにアクセスできる必要があることを意味します。すでにリモート攻撃者が重大なダメージを与える可能性のある脆弱性は次のとおりです。珍しいおよび/または非常に具体的な設定に制限されます。
これはsecurity.SEではないので、私のコメントも追加します。着信接続をフィルタリングしてもセキュリティは大幅に向上しません。不要なプロセスがシステムで実行される場合、システムはすでに破損しています。アプリケーションを安全に保ち、必要に応じて更新することに集中する必要があります。