ホームページ >運用・保守 >Linuxの運用と保守 >Linux サーバー セキュリティ: Web インターフェイス保護戦略を最適化するための戦略。
Linux サーバー セキュリティ: Web インターフェイス保護戦略を最適化するための戦略
インターネットの急速な発展に伴い、ますます多くの企業がオンラインに移行しており、Web のセキュリティインターフェースもサーバーの運用・保守において無視できない重要なポイントとなります。 Linux サーバーでは、Web インターフェイスを保護し、サーバーのセキュリティを確保するための一連の戦略を採用できます。この記事では、Web インターフェイス保護戦略の最適化策について説明し、対応するコード例を示します。
ファイアウォールの構成は、Web インターフェイスのセキュリティを保護するための防御の最前線です。 iptables や firewalld などのツールを使用して、ファイアウォール ルールを設定し、Web インターフェイスへのアクセスを制限できます。以下は、基本的なファイアウォール設定の例です。
# 清空现有规则 iptables -F # 默认策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # 允许本地回环接口 iptables -A INPUT -i lo -j ACCEPT # 允许已建立的和相关的连接 iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT # 开放22端口(SSH) iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 开放80端口(HTTP) iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 开放443端口(HTTPS) iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 其他的一些规则... # 允许ping请求 iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT # 不明来源的数据包丢弃 iptables -A INPUT -m state --state INVALID -j DROP # 加上这条规则,可以防止Ping攻击 iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4 -j ACCEPT # 其他的一些规则... # 最后添加一条默认DROP规则 iptables -A INPUT -j DROP
上記の例では、最初に既存のルールをクリアし、次にデフォルト ポリシーを DROP に設定して、明示的に許可されていないすべての接続を拒否します。次に、ローカル ループバック インターフェイスと、確立された関連する接続を許可します。次に、SSH (ポート 22)、HTTP (ポート 80)、および HTTPS (ポート 443) を開きます。
必要に応じて、特定の IP アドレスへのアクセスを制限するなど、実際の状況に応じて他のルールを追加できます。
Web インターフェイスを介したデータ送信のセキュリティを確保するには、HTTPS を使用して送信データを暗号化する必要があります。 Apache ベースの Web サーバーの場合、mod_ssl モジュールを使用して HTTPS を構成できます。以下は簡単な例です:
# 安装mod_ssl sudo yum install mod_ssl # 设置SSL证书 sudo mkdir /etc/httpd/ssl sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/server.key -out /etc/httpd/ssl/server.crt # 编辑Apache配置文件 sudo vi /etc/httpd/conf/httpd.conf # 在适当的位置添加以下内容 <VirtualHost *:443> ServerName example.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /etc/httpd/ssl/server.crt SSLCertificateKeyFile /etc/httpd/ssl/server.key </VirtualHost> # 重启Apache sudo systemctl restart httpd
上記の例では、最初に mod_ssl モジュールをインストールし、次に自己署名 SSL 証明書を生成し、証明書のパスを Apache の設定ファイルに設定しました。
ファイアウォールと HTTPS 暗号化に加えて、アクセス コントロール ポリシーを通じて Web インターフェイスを保護することもできます。 IP アドレスに基づいたアクセス制御リスト (ACL) を使用して、Web インターフェイスへのアクセスを制限できます。以下は ACL の例です。
# 编辑Apache配置文件 sudo vi /etc/httpd/conf/httpd.conf # 在适当的位置添加以下内容 <Location /> Order deny,allow Deny from all Allow from 192.168.1.0/24 Allow from 10.0.0.0/8 </Location> # 重启Apache sudo systemctl restart httpd
上記の例では、Order、Deny、Allow 命令を使用して Web インターフェイスへのアクセスを制限しています。 2 つのネットワーク セグメント 192.168.1.0/24 および 10.0.0.0/8 からのリクエストのみが許可されます。
上記は、Web インターフェイス保護戦略を最適化するためのいくつかの戦略とコード例です。もちろん、Web インターフェイスのセキュリティを向上させるために Linux サーバーに適用できるセキュリティ対策やテクニックは他にもたくさんあります。サーバーの安全な運用を確保するには、実際の状況とニーズに基づいて、対応する戦略を選択して構成する必要があります。
参考:
以上がLinux サーバー セキュリティ: Web インターフェイス保護戦略を最適化するための戦略。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。