CentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法
- PHPzオリジナル
- 2023-07-07 10:53:111296ブラウズ
CentOS サーバーを監視し、セキュリティ インシデントを迅速に発見して対応する方法
インターネット時代において、サーバーはさまざまなビジネスやデータを運ぶ重要な役割を果たしているため、サーバーのセキュリティ監視は特に重要です。この記事では、CentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法を紹介します。システム監視、ネットワーク監視、ログ監視、セキュリティ イベント処理の分野について説明します。
- システム監視
サーバーの異常を適時に検出するために、いくつかのツールを使用してサーバーのパフォーマンスとステータスを監視できます。一般的に使用されるシステム監視ツールには、Zabbix、Nagios などが含まれます。 Zabbix を例に挙げると、次の手順でインストールおよび設定できます。
1) Zabbix サーバーのインストール:
yum install zabbix-server-mysql zabbix-web-mysql -y
2) Zabbix エージェントのインストール:
yum install zabbix-agent -y
3) Zabbix サーバーとエージェントを構成します。
Zabbix サーバー構成ファイル /etc/zabbix/zabbix_server.conf で、データベース接続情報を変更します。
DBHost=localhost DBName=zabbix DBUser=zabbix DBPassword=zabbix
Zabbix エージェント設定ファイル /etc/zabbix/zabbix_agentd.conf で、Server と ServerActive の IP アドレスを Zabbix Server の IP アドレスに設定します。
Server=Zabbix_Server_IP ServerActive=Zabbix_Server_IP
4) Zabbix サーバーおよびエージェント サービスを開始します。
systemctl start zabbix-server systemctl start zabbix-agent
Web インターフェイスから Zabbix サーバーにアクセスし、監視項目を構成し、アラーム ルールを設定します。
- ネットワーク監視
システムの監視に加えて、異常を適時に検出するためにサーバーが配置されているネットワーク環境も監視する必要があります。一般的に使用されるネットワーク監視ツールには、NetData、Icinga などが含まれます。 NetData を例に挙げると、次の手順でインストールして構成できます:
1) NetData をインストールします:
bash <(curl -Ss https://my-netdata.io/kickstart.sh)
2) NetData サービスを開始します:
systemctl start netdata
Pass ブラウザで http://serverIP:19999 にアクセスして、サーバーのネットワーク ステータスとパフォーマンス情報を表示します。
- ログ監視
ログ監視は非常に重要であり、潜在的なセキュリティ問題を適時に検出するのに役立ちます。一般的に使用されるログ監視ツールには、ELK Stack (Elasticsearch、Logstash、Kibana)、Graylog などが含まれます。 ELK スタックを例に挙げると、次の手順でインストールして構成できます:
1) Elasticsearch のインストールと構成:
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch echo "[elasticsearch-7.x] name=Elasticsearch repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md" | sudo tee /etc/yum.repos.d/elasticsearch.repo yum install elasticsearch -y vi /etc/elasticsearch/elasticsearch.yml cluster.name: my-application node.name: node-1 network.host: 0.0.0.0
2) Logstash のインストールと構成:
rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[logstash-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/logstash.repo
yum install logstash -y
vi /etc/logstash/conf.d/logstash.conf
input {
file {
path => "/var/log/*.log"
start_position => "beginning"
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
}
} 3) Kibana のインストールと構成:
echo "[kibana-7.x] name=Kibana repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md" | sudo tee /etc/yum.repos.d/kibana.repo yum install kibana -y vi /etc/kibana/kibana.yml server.host: "0.0.0.0"
4) Elasticsearch、Logstash、および Kibana サービスの開始:
systemctl start elasticsearch systemctl start logstash systemctl start kibana
ブラウザ経由でアクセス http://serverIP:5601、Kibana を構成します。
-
セキュリティ インシデントの処理
サーバー上でセキュリティ インシデントが発見されたら、タイムリーに処理し、対応する必要があります。異常なIPのブロック、脆弱なサービスの終了、脆弱性の修復など、特定の状況に応じて対応する操作を実行できます。以下は、異常な IP アドレスをブロックするためのサンプル コードです:#!/bin/bash IP="192.168.1.100" iptables -I INPUT -s $IP -j DROP service iptables save
上記のコードを block_ip.sh として保存し、実行権限を付与します:
chmod +x block_ip.sh
指定された IP アドレスをブロックするスクリプトを実行します:
./block_ip.sh
要約すると、システム監視、ネットワーク監視、ログ監視、セキュリティ イベント処理を通じて、CentOS サーバーに対するタイムリーな監視とセキュリティ対応を実現できます。もちろん、これらは基本的な監視および処理方法にすぎませんが、特定の状況やニーズに応じて、より高度なツールやテクノロジーを使用して、サーバーのセキュリティと安定性を向上させることもできます。この記事が皆様のお役に立てれば幸いです。
以上がCentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。