Linux サーバーを保護する方法を調べる

どの Linux ディストリビューションを使用する場合でも、iptables ベースのファイアウォールで保護する必要があります。

ああ！最初の Linux サーバーをセットアップし、準備は完了です。それは...ですか？まあ、待ってください。

デフォルトでは、Linux システムは攻撃者から十分に安全ではありません。確かに、Windows XP よりもはるかに安全ですが、それはあまり意味がありません。

Linux システムを真に安定させるには、 Linode の サーバー セキュリティ ガイド に従う必要があります。

一般に、まず、必要のないサービスをオフにする必要があります。もちろん、これを行うには、まず、使用しているネットワーク サービスを知る必要があります。

シェル コマンドを使用して、どのサービスが存在するかを確認できます。

リーリー

netstat は、どのサービスが実行されているか、およびそれらのサービスがどのポートを使用しているかを示します。サービスやポートが必要ない場合は、オフにする必要があります。たとえば、Web サイトを実行している場合を除き、Apache サーバーや Nginx サーバーを実行する必要はなく、ポート 80 または 8080 を開く必要もありません。

要するに、よくわからない場合は、まずオフにしてください。

追加の変更を加えていない単純な Linux サーバーでは、SSH、RPC、および NTPdate がパブリック ポートで実行されていることがわかります。 Telnet のような古くて安全でないシェル プログラムを追加しないでください。追加しないと、古いドライバーが気付かないうちに Linux スポーツ カーを追い払ってしまいます。 1980 年代には、SunOS マシンへのバックアップ ログインとして Telnet が好まれていたかもしれませんが、それはもう昔のことです。

SSH の場合は、RSA キーと Fail2Ban を使用して強化する必要があります。 RPC が必要でない場合は、アンインストールしてください。必要ないことがわからない場合は、必要ありません。

ロックダウンの方法についてはこれで十分です。次に、iptables を使用して受信トラフィックをロックダウンする方法について説明します。

Linux サーバーを起動する場合、ルールはありません。これは、すべてのトラフィックが許可されることを意味します。もちろんこれはダメです。したがって、時間内にファイアウォールを設定する必要があります。

Iptables は、netfilter のネットワーク ポリシー ルールを設定するために使用されるシェル ツールです。Netfilter は、Linux システムのデフォルトのファイアウォールです。一連のルールを使用して、トラフィックを許可または禁止します。誰かがあなたのシステムに接続しようとしたとき、そして常にこれを試みて決して落胆しない人もいますが、iptables はそれらのリクエストがルールのリストに一致するかどうかを確認します。一致するルールがない場合は、デフォルトのアクションが実行されます。

デフォルトの操作は、接続を「ドロップ」すること、つまり、意図された侵入者を禁止することです。そして、これらのネットワークプローブで何が起こっているのかを彼らに知らせることはできません。 (リンクを「拒否」することもできますが、これにより、Linux ファイアウォールが実行されていることが相手に通知されてしまいます。現時点では、見知らぬ人がシステムに侵入できる情報は少ないほど良いと考えられます。少なくとも、私はそう思います。 )

これで、iptables を使用してファイアウォールを設定できるようになりました。これはもうやりました。以前と同じように、私は自転車で6マイル離れた職場に行きましたが、両側とも上り坂でした。そして今、私はそこへ車で行きます。

これは実際、Fedora ディストリビューションでの FirewallD と Debian ディストリビューションでの UFW (Uncomplicated Firewall) の使用の比喩です。これらは、iptables の使いやすいシェル フロント エンドです。次の Linode ガイドで適切な使用法を見つけることができます: FirewallD および UFW。

これらのルールを設定するということは、基本的にサーバーに「立ち入り禁止」の標識を設置することです。これを使って。

ただし、興奮しすぎてすべてのリンクを閉じないでください。例えば：＃＃＃ リーリー

それは良いアイデアだと思います。忘れないでください。あなたのリンクを含むすべてのリンクが禁止されます。

すごいですね、そういうことなんですね。これは、SSH ログインも無効になることを意味します。これは、新しいサーバーにログインできなくなることを意味します。おお！

ただし、一歩間違えると、さらに多くのリンクが誤って禁止されてしまいます。ほら、ベテランドライバーもあなたにブロックされています。

より正確に言えば、これはあなたまたはあなたのサーバーが経験する孤立した現象ではありません。もちろん、あなたは毎日 3 億回以上の攻撃試行にさらされている 国家安全保障局 (NSA) ではありません。しかし、攻撃スクリプトはユーザーが誰であるかを気にしません。ネットワーク内に既知の脆弱性があるサーバーがないか継続的にチェックするだけです。通常の日であれば、私自身の小さなサーバーが何百もの攻撃を受けることになります。

それで、何を待っていますか?ネットワーク サービスを強化してください。 FirewallD または UFW をインストールしてサーバーを強化します。あなたは喜んでそれを行うでしょう。

以上がLinux サーバーを保護する方法を調べるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。