ホームページ  >  記事  >  運用・保守  >  CentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法

CentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法

PHPz
PHPzオリジナル
2023-07-07 10:53:111326ブラウズ

CentOS サーバーを監視し、セキュリティ インシデントを迅速に発見して対応する方法

インターネット時代において、サーバーはさまざまなビジネスやデータを運ぶ重要な役割を果たしているため、サーバーのセキュリティ監視は特に重要です。この記事では、CentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法を紹介します。システム監視、ネットワーク監視、ログ監視、セキュリティ イベント処理の分野について説明します。

  1. システム監視
    サーバーの異常を適時に検出するために、いくつかのツールを使用してサーバーのパフォーマンスとステータスを監視できます。一般的に使用されるシステム監視ツールには、Zabbix、Nagios などが含まれます。 Zabbix を例に挙げると、次の手順でインストールおよび設定できます。

1) Zabbix サーバーのインストール:

yum install zabbix-server-mysql zabbix-web-mysql -y

2) Zabbix エージェントのインストール:

yum install zabbix-agent -y

3) Zabbix サーバーとエージェントを構成します。
Zabbix サーバー構成ファイル /etc/zabbix/zabbix_server.conf で、データベース接続情報を変更します。

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix

Zabbix エージェント設定ファイル /etc/zabbix/zabbix_agentd.conf で、Server と ServerActive の IP アドレスを Zabbix Server の IP アドレスに設定します。

Server=Zabbix_Server_IP
ServerActive=Zabbix_Server_IP

4) Zabbix サーバーおよびエージェント サービスを開始します。

systemctl start zabbix-server
systemctl start zabbix-agent

Web インターフェイスから Zabbix サーバーにアクセスし、監視項目を構成し、アラーム ルールを設定します。

  1. ネットワーク監視
    システムの監視に加えて、異常を適時に検出するためにサーバーが配置されているネットワーク環境も監視する必要があります。一般的に使用されるネットワーク監視ツールには、NetData、Icinga などが含まれます。 NetData を例に挙げると、次の手順でインストールして構成できます:

1) NetData をインストールします:

bash <(curl -Ss https://my-netdata.io/kickstart.sh)

2) NetData サービスを開始します:

systemctl start netdata

Pass ブラウザで http://serverIP:19999 にアクセスして、サーバーのネットワーク ステータスとパフォーマンス情報を表示します。

  1. ログ監視
    ログ監視は非常に重要であり、潜在的なセキュリティ問題を適時に検出するのに役立ちます。一般的に使用されるログ監視ツールには、ELK Stack (Elasticsearch、Logstash、Kibana)、Graylog などが含まれます。 ELK スタックを例に挙げると、次の手順でインストールして構成できます:

1) Elasticsearch のインストールと構成:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/elasticsearch.repo
yum install elasticsearch -y

vi /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application
node.name: node-1
network.host: 0.0.0.0

2) Logstash のインストールと構成:

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[logstash-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/logstash.repo
yum install logstash -y

vi /etc/logstash/conf.d/logstash.conf
input {
  file {
    path => "/var/log/*.log"
    start_position => "beginning"
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
  }
}

3) Kibana のインストールと構成:

echo "[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/kibana.repo
yum install kibana -y

vi /etc/kibana/kibana.yml
server.host: "0.0.0.0"

4) Elasticsearch、Logstash、および Kibana サービスの開始:

systemctl start elasticsearch
systemctl start logstash
systemctl start kibana

ブラウザ経由でアクセス http://serverIP:5601、Kibana を構成します。

  1. セキュリティ インシデントの処理
    サーバー上でセキュリティ インシデントが発見されたら、タイムリーに処理し、対応する必要があります。異常なIPのブロック、脆弱なサービスの終了、脆弱性の修復など、特定の状況に応じて対応する操作を実行できます。以下は、異常な IP アドレスをブロックするためのサンプル コードです:

    #!/bin/bash
    
    IP="192.168.1.100"
    
    iptables -I INPUT -s $IP -j DROP
    service iptables save

上記のコードを block_ip.sh として保存し、実行権限を付与します:

chmod +x block_ip.sh

指定された IP アドレスをブロックするスクリプトを実行します:

./block_ip.sh

要約すると、システム監視、ネットワーク監視、ログ監視、セキュリティ イベント処理を通じて、CentOS サーバーに対するタイムリーな監視とセキュリティ対応を実現できます。もちろん、これらは基本的な監視および処理方法にすぎませんが、特定の状況やニーズに応じて、より高度なツールやテクノロジーを使用して、サーバーのセキュリティと安定性を向上させることもできます。この記事が皆様のお役に立てれば幸いです。

以上がCentOS サーバーを監視し、セキュリティ インシデントをタイムリーに検出して対応する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。