求教关于防火墙的建议

jsun

我想使用gentoo来制作一个防火墙，除了最基本的软件之外，只需要开sshd服务和iptables，请问有没有什么建议？比如USE、软件清单方面？
我在想如果使用
ROOT=/mnt/firewall USE="-*" emerge -ev iptables utils-linux ......
能不能实现我的目的？特别是，把gcc之类的软件干掉。

已参考：
Gentoo Security Handbook  http://www.gentoo.org/doc/en/sec ... handbook.xml?full=1

wecoh

我建议你别用 gentoo 来做这个，选其它的发行版吧。

U571

Post by wecoh;2085042
我建议你别用 gentoo 来做这个，选其它的发行版吧。

赞同！

问题不在于如何构建，问题在于后期维护。
没了gcc，意味着不能编译了，软件更新就得依赖二进制包，而非源代码。我想楼主也不愿意更新次系统就装一次gcc，用完再删除吧！

jsun

Post by U571;2085057
赞同！

问题不在于如何构建，问题在于后期维护。
没了gcc，意味着不能编译了，软件更新就得依赖二进制包，而非源代码。我想楼主也不愿意更新次系统就装一次gcc，用完再删除吧！

如果你仔细看我的帖子，可以看到ROOT=""这个变量。实际上，没有多少包会依赖gcc。基本系统更是这样。

fender010

没有工具链的确能增加安全性，但是你后期维护怎么办呢，

gentoo是基于source的发行版，不是像debian那样有没有工具链都无所谓的。

jsun

Post by fender010;2085099
没有工具链的确能增加安全性，但是你后期维护怎么办呢，

gentoo是基于source的发行版，不是像debian那样有没有工具链都无所谓的。

使用ROOT变量是可以把工具链和系统分离的。甚至把整个Portage与目标系统分离，就像从母系统中port出一个子系统。在make.conf的manpage里有介绍ROOT

U571

Post by jsun;2085108
使用ROOT变量是可以把工具链和系统分离的。甚至把整个Portage与目标系统分离，就像从母系统中port出一个子系统。在make.conf的manpage里有介绍ROOT

有空会去看看。
这是个如何“借鸡下蛋”的问题！

fender010

Post by jsun;2085108
使用ROOT变量是可以把工具链和系统分离的。甚至把整个Portage与目标系统分离，就像从母系统中port出一个子系统。在make.conf的manpage里有介绍ROOT

那就是我没见识了。

jsun

Post by fender010;2085130
那就是我没见识了。

我也是看manpage偶然注意到的。systemrescuecd也没有portage，猜想就是这么搞出来的。

fender010

Post by jsun;2085147
我也是看manpage偶然注意到的。systemrescuecd也没有portage，猜想就是这么搞出来的。

如果一个功能用的人越少的话，那么你受到支持的可能行就越小，这个功能我真不了解，

要专门做一个防火墙的话，是得剪掉很多东西，

你是打算单独一个机器只跑防火墙吗？

能不能剪裁的恨一点，然后用其他机器来给它编译需要升级的包？