Cyber Shelf

// Comparaison

Linux Firewalls vs Practical Linux Forensics : lequel lire ?

Deux livres de cybersécurité sur Defensive, comparés honnêtement : à qui s'adresse chacun, ce que chacun fait de mieux, et lequel lire en premier.

Intermédiaire
4/52007
Linux Firewalls

Attack Detection and Response with iptables, psad, and fwsnort

Michael Rash

Michael Rash, auteur de psad et fwsnort, sur la construction et l'exploitation d'un filtrage de paquets Linux-natif et d'un tooling de réponse aux intrusions. Pré-nftables en détail mais conceptuellement durable.

Intermédiaire
4/52021
Practical Linux Forensics

A Guide for Digital Investigators

Bruce Nikkel

La référence de Bruce Nikkel pour les analystes forensiques travaillant en post-mortem sur des images Linux : systèmes de fichiers, journalisation, logs, emplacements de persistance et la discipline chain of custody autour.

À lire si

Administrateurs Linux et praticiens défensifs qui ont besoin de configurer réellement un firewall, pas juste de comprendre le concept. La couverture iptables de Rash reste l'introduction pratique la plus nette ; psad et fwsnort pour le côté réponse active.
Incident responders et analystes forensiques travaillant sur des systèmes Linux modernes. Nikkel couvre les internals ext4 / XFS / Btrfs, la journalisation systemd, les emplacements de persistance et la discipline chain-of-custody qui distingue la preuve des notes. La référence post-systemd dont le champ avait besoin.

À éviter si

Lecteurs entièrement sur nftables / firewalld / security groups cloud-native, ou quiconque voulant un traité niveau architecture. Le livre est règles iptables hands-on et analyse, pas un cadre stratégique.
Analystes forensiques Windows-only, ou débutants sans expérience IR. Le livre suppose la fluidité système de fichiers et le confort en ligne de commande forensique.

Points clés

  • iptables reste le modèle mental fondamental ; même dans des environnements nftables-ou-eBPF, comprendre les chaînes match-and-target est requis pour lire les rule sets que le champ expédie encore.
  • La réponse active est une vraie option défensive qu'il est facile de surestimer ; le chapitre du livre sur les compromis est convenablement prudent.
  • La détection de port scanning (psad) et le blocking signature-based (fwsnort) sont encore des primitives utiles qui frappent au-dessus de leur poids dans les environnements à budget contraint.
  • La forensique Linux moderne n'est pas juste « parser syslog » ; systemd, journald et le passage aux conteneurs basés overlay ont chacun créé de nouvelles classes d'artefacts.
  • Le chapitre sur l'énumération de persistance est le plus net en imprimé ; cron, timers systemd, init.d, profile files, tous nommés.
  • La plupart des charges cloud sont Linux, ce qui signifie que la majeure partie de la forensique d'incident cloud est de la forensique Linux ; le livre est la bonne référence de départ.

Comment ils se comparent

Linux Firewalls et Practical Linux Forensics sont tous deux notés 4/5 dans notre catalogue. Choisissez selon vos préférences thématiques et de style, plutôt que sur la note.

Les deux livres ciblent un public de niveau intermédiaire : le choix se fait sur la thématique, pas la difficulté.

Linux Firewalls et Practical Linux Forensics couvrent tous les deux Defensive, Linux : les lire dans l'ordre renforce les mêmes notions sous des angles différents.

Continuer la lecture

Linux Firewalls

Alternatives à Linux FirewallsQue lire après Linux Firewalls

Practical Linux Forensics

Alternatives à Practical Linux ForensicsQue lire après Practical Linux Forensics

Thématiques liées

DefensiveLinux