ホームページ >運用・保守 >Linuxの運用と保守 >CentOS サーバーをサイバー攻撃から守る方法

CentOS サーバーをサイバー攻撃から守る方法

WBOY
WBOYオリジナル
2023-07-08 20:22:371421ブラウズ

CentOS サーバーをネットワーク攻撃から保護する方法

現在、ネットワーク セキュリティの問題はますます深刻になっており、サーバー セキュリティは Web サイトやアプリケーションの運用における重要な要素の 1 つです。この記事では、CentOS サーバーをネットワーク攻撃から保護する方法を説明し、いくつかの具体的なコード例を示します。

  1. システム パッチを適時に更新する
    サーバー オペレーティング システムとソフトウェアの脆弱性は、ハッカー攻撃の一般的な侵入ポイントの 1 つです。既知の脆弱性からサーバーを保護するには、システム パッチを最新の状態に保つことが非常に重要です。

CentOS では、次のコマンドを使用してシステム パッケージを更新できます。

sudo yum update
  1. ファイアウォールをインストールする
    ファイアウォールは、ネットワークに出入りするネットワーク トラフィックを制御できます。不正アクセスを防止するためのサーバーです。 CentOS で使用されるデフォルトのファイアウォールは firewalld です。一般的に使用されるコマンドの一部を次に示します。
# 检查防火墙状态
sudo systemctl status firewalld

# 启动防火墙
sudo systemctl start firewalld

# 停止防火墙
sudo systemctl stop firewalld

# 开机启动防火墙
sudo systemctl enable firewalld

# 关闭开机启动
sudo systemctl disable firewalld

# 开启端口
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

# 重新加载规则
sudo firewall-cmd --reload
  1. SSH セキュリティの構成
    SSH はリモート管理サービスの一般的なツールであり、ハッカー攻撃の主なターゲットでもあります。 SSH セキュリティを強化するためのいくつかの対策は次のとおりです。
  • SSH root ログインを無効にします。
    一般ユーザーを使用してサーバーにログインし、su# を使用します。 ## root に切り替えるコマンド ユーザーは管理操作を実行します。
  • デフォルトの SSH ポートを変更する:
  • ハッカーは通常、サーバーのデフォルト ポート 22 をスキャンします。SSH ポートを非一般的なポートに変更すると、セキュリティが向上します。
  • キー ログインを使用する:
  • キー ログインはパスワード ログインより安全であり、SSH キー ペアを使用して実装できます。キーの生成と構成の手順は次のとおりです:
  • # 生成密钥对
    ssh-keygen -t rsa
    
    # 复制公钥到服务器
    ssh-copy-id user@server
    
    # 修改SSH配置文件
    sudo vi /etc/ssh/sshd_config
    将以下行修改或添加为:
    PasswordAuthentication no
    PubkeyAuthentication yes
    SSH ログインの失敗数の制限を構成します:
  • ハッカーは、SSH へのログインにブルート フォースを使用しようとすることがよくあります。このリスクは、ログイン失敗の回数を制限することで軽減できます。以下は例です。
  • # 修改SSH配置文件
    sudo vi /etc/ssh/sshd_config
    将以下行修改或添加为:
    MaxAuthTries 3
    安全なプロトコルと暗号化された接続を使用する
  1. HTTPS プロトコルと SSL/TLS 証明書を使用して、Web サイトに暗号化された接続を提供し、データのセキュリティを確保します。以下は、HTTPS を使用するように Nginx サーバーを構成する例です。
  2. # 安装Nginx
    sudo yum install nginx
    
    # 生成SSL证书
    sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/nginx.key -out /etc/nginx/nginx.crt
    
    # 配置Nginx
    sudo vi /etc/nginx/conf.d/default.conf
    将以下行修改或添加为:
    server {
      listen 443 ssl;
      ssl_certificate /etc/nginx/nginx.crt;
      ssl_certificate_key /etc/nginx/nginx.key;
      ...
    }
    
    # 重启Nginx
    sudo systemctl restart nginx
    侵入検知システムをインストールする
  1. 侵入検知システム (侵入検知システム、IDS と呼ばれる) は、次のことを行うことができます。異常な行動や悪意のある活動を監視し、適時に適切な措置を講じます。 Snort を IDS として使用する例を次に示します。
  2. # 安装Snort
    sudo yum install epel-release -y
    sudo yum install snort -y
    
    # 配置Snort
    sudo vi /etc/snort/snort.conf
    进行必要的配置,如网络IP、规则文件等。
    
    # 启动Snort
    sudo snort -d -c /etc/snort/snort.conf
要約すると、CentOS サーバーをネットワーク攻撃から保護することは多面的な取り組みです。複数のセキュリティ対策を包括的に使用することによってのみ、サーバーのセキュリティをより適切に保護できます。最も重要なことは、システムを適時に更新し、ファイアウォールをインストールし、SSH を強化し、セキュリティ プロトコルを使用することです。侵入検知システムを導入すると、異常な動作をタイムリーに発見し、適切に対応することができます。上記のサンプル コードは、これらのセキュリティ対策をより適切に実装するのに役立ちます。

以上がCentOS サーバーをサイバー攻撃から守る方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。