Fail2ban:暴力破解的自动防御系统
概述 Fail2ban 是一款开源的入侵防御软件,通过扫描服务日志文件,发现多次认证失败的 IP 地址,然后自动将其加入防火墙黑名单,在一段时间内阻止其继续访问。 简单来说:有人疯狂尝试 SSH 密码?Fail2ban 检测到后自动封了他的 IP。 攻击者 IP ──▶ 尝试 SSH 登录(失败 ×
阅读全文文章列表
nftables:下一代 Linux 防火墙完全指南
概述 nftables 是 Linux 内核 netfilter 框架的新一代包过滤引擎,旨在取代经典的 iptables。它于 2014 年合并入 Linux 内核 3.13,经过十多年的发展,已成为所有主流 Linux 发行版的默认防火墙后端。 nftables 引入了一个全新的用户空间工具 n
阅读全文UFW 防火墙:简单到极致的 Linux 防火墙
概述 UFW(Uncomplicated Firewall) 是 Ubuntu 下默认的防火墙前端工具,设计理念如其名 —— "不复杂的防火墙"。它封装了底层 iptables/nftables 的复杂性,让你用自然语言般的命令就能配置防火墙规则。 ufw 不是一个新的防火墙框架,它只是一个 fro
阅读全文iptables 防火墙:从入门到进阶
概述 iptables 是 Linux 内核 netfilter 框架的用户空间工具,自 2001 年起成为 Linux 防火墙的事实标准。它通过规则表(table)和规则链(chain)的结构,对进出系统的网络数据包进行过滤、修改和转发控制。 虽然 nftables 已被各大发行版列为默认,但 i
阅读全文Linux 防火墙:iptables vs ufw vs nftables 对比与选型
概述 在 Linux 系统中,防火墙是网络安全的第一道防线。iptables、ufw、nftables 是三个最常被提及的防火墙工具,但它们处于不同的抽象层级,服务于不同的使用场景。 简单来说: iptables — 内核防火墙的"老牌"命令行接口,基于 netfilter 框架,统治了 Linux
阅读全文CVE-2026-43284 / CVE-2026-43500 — "Dirty Frag" Linux 内核本地提权漏洞
影响所有主流 Linux 发行版的页缓存写入漏洞链,无条件的本地 root 提权。 --漏洞概述 | 项目 | 内容 | |------|------| | 漏洞名称 | Dirty Frag | | CVE 编号 | CVE-2026-43284(ESP 子模块)、CVE-2026-43500(R
阅读全文CIFSwitch — Linux CIFS 内核子系统中本地提权漏洞
CIFS SPNEGO upcall 路径中缺少 key 描述验证,允许本地用户一条命令获取 root 权限。 PoC 已公开,CVE 待分配。 --漏洞概述 | 项目 | 内容 | |------|------| | 漏洞名称 | CIFSwitch | | CVE 编号 | ⏳ 待分配(截至 2
阅读全文CVE-2026-43494 — "PinTheft" Linux 内核本地提权漏洞
RDS 协议中的引用计数缺陷导致双重释放,进而实现页缓存越界写入获取 root 权限。 --漏洞概述 | 项目 | 内容 | |------|------| | 漏洞名称 | PinTheft | | CVE 编号 | CVE-2026-43494 | | 漏洞类型 | 双重释放(Double-Fr
阅读全文CVE-2026-31431 — "Copy Fail" Linux 内核本地提权漏洞
AFALG 密码学套接字接口中的逻辑漏洞,一个 732 字节的 Python 脚本即可无条件获取 root 权限。 --漏洞概述 | 项目 | 内容 | |------|------| | 漏洞名称 | Copy Fail(也称 CopyFail) | | CVE 编号 | CVE-2026-314
阅读全文CVE-2026-31635 — "DirtyDecrypt" Linux 内核本地提权漏洞
RxRPC rxgk 子系统中缺失的写时复制检查,允许本地用户解密操作直接覆盖页缓存获取 root。 --漏洞概述 | 项目 | 内容 | |------|------| | 漏洞名称 | DirtyDecrypt(也称 DirtyCBC) | | CVE 编号 | CVE-2026-31635 |
阅读全文 已显示全部文章