Heim >Betrieb und Instandhaltung >Betrieb und Wartung von Linux >So überwachen Sie CentOS-Server und erkennen und reagieren rechtzeitig auf Sicherheitsvorfälle

So überwachen Sie CentOS-Server und erkennen und reagieren rechtzeitig auf Sicherheitsvorfälle

PHPz
PHPzOriginal
2023-07-07 10:53:111365Durchsuche

So überwachen Sie CentOS-Server und erkennen und reagieren rechtzeitig auf Sicherheitsvorfälle.

Im Internetzeitalter spielen Server eine wichtige Rolle, da sie verschiedene Geschäfte und Daten übertragen. Daher ist die Überwachung der Serversicherheit besonders wichtig. In diesem Artikel erfahren Sie, wie Sie CentOS-Server überwachen und Sicherheitsvorfälle rechtzeitig erkennen und darauf reagieren. Wir werden die folgenden Bereiche besprechen: Systemüberwachung, Netzwerküberwachung, Protokollüberwachung und Handhabung von Sicherheitsereignissen.

  1. Systemüberwachung
    Um Serveranomalien rechtzeitig zu erkennen, können wir einige Tools verwenden, um die Leistung und den Status des Servers zu überwachen. Zu den häufig verwendeten Systemüberwachungstools gehören Zabbix, Nagios usw. Am Beispiel von Zabbix können wir es durch die folgenden Schritte installieren und konfigurieren:

1) Zabbix-Server installieren:

yum install zabbix-server-mysql zabbix-web-mysql -y

2) Zabbix-Agent installieren:

yum install zabbix-agent -y

3) Zabbix-Server und -Agent konfigurieren:
Im Ändern Sie in der Konfigurationsdatei /etc/zabbix/zabbix_server.conf auf der Seite des Zabbix-Servers die Datenbankverbindungsinformationen: /etc/zabbix/zabbix_server.conf 中,修改数据库连接信息:

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix

在Zabbix Agent端的配置文件 /etc/zabbix/zabbix_agentd.conf 中,设置Server和ServerActive的IP地址为Zabbix Server的IP。

Server=Zabbix_Server_IP
ServerActive=Zabbix_Server_IP

4)启动Zabbix Server和Agent服务:

systemctl start zabbix-server
systemctl start zabbix-agent

通过Web界面访问Zabbix Server,进行监控项的配置和设定报警规则。

  1. 网络监控
    除了系统监控,我们还需要对服务器所处的网络环境进行监控,以便及时发现异常。常用的网络监控工具有NetData、Icinga等。以NetData为例,我们可以通过以下步骤来安装和配置:

1)安装NetData:

bash <(curl -Ss https://my-netdata.io/kickstart.sh)

2)启动NetData服务:

systemctl start netdata

通过浏览器访问http://服务器IP:19999,即可查看服务器的网络状态和性能信息。

  1. 日志监控
    日志监控是非常重要的,它可以帮助我们及时察觉到潜在的安全问题。常用的日志监控工具有ELK Stack(Elasticsearch, Logstash, Kibana)、Graylog等。以ELK Stack为例,我们可以通过以下步骤来安装和配置:

1)安装和配置Elasticsearch:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/elasticsearch.repo
yum install elasticsearch -y

vi /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application
node.name: node-1
network.host: 0.0.0.0

2)安装和配置Logstash:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[logstash-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/logstash.repo
yum install logstash -y

vi /etc/logstash/conf.d/logstash.conf
input {
  file {
    path => "/var/log/*.log"
    start_position => "beginning"
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
  }
}

3)安装和配置Kibana:

echo "[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/kibana.repo
yum install kibana -y

vi /etc/kibana/kibana.yml
server.host: "0.0.0.0"

4)启动Elasticsearch、Logstash和Kibana服务:

systemctl start elasticsearch
systemctl start logstash
systemctl start kibana

通过浏览器访问http://服务器IP:5601,进行Kibana的配置。

  1. 安全事件处理
    一旦发现服务器的安全事件,我们需要及时处理和应对。可以根据具体情况进行相应的操作,如封禁异常IP、关闭漏洞服务、修复漏洞等。以下是一个示例代码,用于封禁异常IP地址:

    #!/bin/bash
    
    IP="192.168.1.100"
    
    iptables -I INPUT -s $IP -j DROP
    service iptables save

将以上代码保存为block_ip.sh

chmod +x block_ip.sh

In der Konfigurationsdatei /etc/zabbix/zabbix_agentd.conf Stellen Sie auf der Seite des Zabbix-Agenten die IP-Adresse von Server und ServerActive auf die IP-Adresse des Zabbix-Servers ein.

./block_ip.sh

4) Starten Sie die Zabbix-Server- und Agent-Dienste:

rrreee

Greifen Sie über die Weboberfläche auf den Zabbix-Server zu, um Überwachungselemente zu konfigurieren und Alarmregeln festzulegen. 🎜
    🎜Netzwerküberwachung🎜Zusätzlich zur Systemüberwachung müssen wir auch die Netzwerkumgebung überwachen, in der sich der Server befindet, um Anomalien rechtzeitig zu erkennen. Zu den häufig verwendeten Netzwerküberwachungstools gehören NetData, Icinga usw. Am Beispiel von NetData können wir es mit den folgenden Schritten installieren und konfigurieren: 🎜🎜🎜1) NetData installieren: 🎜rrreee🎜2) NetData-Dienst starten: 🎜rrreee🎜Besuchen Sie http://server IP:19999 über den Browser , um den Netzwerkstatus und die Leistungsinformationen des Servers anzuzeigen. 🎜
      🎜Protokollüberwachung🎜Die Protokollüberwachung ist sehr wichtig, sie kann uns helfen, potenzielle Sicherheitsprobleme rechtzeitig zu erkennen. Zu den häufig verwendeten Protokollüberwachungstools gehören ELK Stack (Elasticsearch, Logstash, Kibana), Graylog usw. Am Beispiel von ELK Stack können wir ihn mit den folgenden Schritten installieren und konfigurieren: 🎜🎜🎜1) Elasticsearch installieren und konfigurieren: 🎜rrreee🎜2) Logstash installieren und konfigurieren: 🎜rrreee🎜3) Kibana installieren und konfigurieren: 🎜rrreee 🎜4) Starten Sie die Dienste Elasticsearch, Logstash und Kibana: 🎜rrreee🎜Besuchen Sie http://server IP:5601 über den Browser, um Kibana zu konfigurieren. 🎜
        🎜🎜Behandlung von Sicherheitsvorfällen🎜Sobald ein Sicherheitsvorfall auf dem Server entdeckt wird, müssen wir ihn rechtzeitig bearbeiten und reagieren. Entsprechende Vorgänge können je nach bestimmten Umständen durchgeführt werden, z. B. das Blockieren abnormaler IPs, das Schließen anfälliger Dienste, das Beheben von Schwachstellen usw. Das Folgende ist ein Beispielcode zum Blockieren ungewöhnlicher IP-Adressen: 🎜rrreee🎜🎜🎜Speichern Sie den obigen Code als block_ip.sh und erteilen Sie Ausführungsberechtigungen: 🎜rrreee🎜Führen Sie das Skript aus, um die angegebene IP-Adresse zu blockieren: 🎜rrreee🎜Zusammenfassend lässt sich sagen, dass wir durch Systemüberwachung, Netzwerküberwachung, Protokollüberwachung und Verarbeitung von Sicherheitsereignissen eine zeitnahe Überwachung und Sicherheitsreaktion auf CentOS-Server erreichen können. Natürlich handelt es sich dabei lediglich um grundlegende Überwachungs- und Verarbeitungsmethoden. Je nach konkreter Situation und Bedarf können wir auch fortschrittlichere Tools und Technologien einsetzen, um die Sicherheit und Stabilität des Servers zu verbessern. Ich hoffe, dass dieser Artikel für alle hilfreich sein kann. 🎜

Das obige ist der detaillierte Inhalt vonSo überwachen Sie CentOS-Server und erkennen und reagieren rechtzeitig auf Sicherheitsvorfälle. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn