Rumah >Operasi dan penyelenggaraan >operasi dan penyelenggaraan linux >Bagaimana untuk menyediakan sistem CentOS anda untuk menyekat imbasan port daripada penyerang luar
Cara menyediakan sistem CentOS untuk menyekat pengimbasan port oleh penyerang luar
Abstrak:
Dengan pembangunan berterusan Internet, isu keselamatan rangkaian menjadi semakin ketara. Penyerang luar sering menggunakan pengimbasan port untuk mencari lubang keselamatan dalam sistem. Untuk melindungi sistem kami, kami perlu mengambil langkah untuk menyekat imbasan ini. Artikel ini akan memperkenalkan cara menyediakan sistem CentOS untuk menghalang pengimbasan port oleh penyerang luar dan memberikan contoh kod yang berkaitan.
1. Pasang dan konfigurasikan tembok api
Sistem CentOS disertakan dengan tembok api tembok Kami boleh mengehadkan pengimbasan port sistem dengan mengkonfigurasi tembok api.
1. Pasang firewalld:
sudo yum pasang firewalld
2 Mulakan perkhidmatan firewalld:
sudo systemctl mulakan firewalld
3.
sudo firewall-cmd --state
2. Tambah peraturan port
Kita boleh menggunakan arahan firewalld untuk menambah peraturan port untuk menghalang pengimbasan port oleh penyerang luar.
1. Lihat port yang terbuka kepada sistem:
sudo firewall-cmd --list-ports
2. Tambah port yang dibenarkan untuk diakses:
sudo firewall-cmd --add-port=80/tcp. --permanent
3 Alih keluar port terbuka lalai:
sudo firewall-cmd --remove-service=http --permanent
4 Muat semula konfigurasi firewall:
sudo firewall-cmd --reload
3 Disable ICMP responses
Selain menyekat akses port, kami juga boleh melumpuhkan respons ICMP, yang. berkesan boleh menghalang penyerang luar daripada menjalankan imbasan ping biasa.
1. Lumpuhkan respons ICMP:
sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" drop'
2. Muat semula konfigurasi firewall:
sudo firewall-cmd -- muat semula
4. Hidupkan perlindungan Kuki SYN
Kuki SYN ialah mekanisme untuk menghalang serangan DoS dan DDoS Dengan menghidupkan perlindungan Kuki SYN, kami boleh menghalang penyerang luar daripada mengimbas sistem dengan berkesan.
1. Dayakan perlindungan kuki SYN:
sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sysctl configuration
2
5. Hadkan akses SSH
SSH ialah salah satu kaedah pencerobohan yang biasa digunakan oleh penyerang luar Kami boleh mengurangkan risiko serangan sistem dengan menyekat akses SSH.
1. Edit fail konfigurasi SSH:
sudo vi /etc/ssh/sshd_config
2 Nyahkomen baris berikut dan ubah suainya ke port dan IP yang ditentukan:
Akhir sekali, kita harus sentiasa memantau log sistem untuk mengesan dan bertindak balas terhadap kemungkinan serangan dalam masa .
sudo tail -f /var/log/messages
1. Tambah peraturan yang membenarkan akses ke port 80 dan 443:
sudo firewall-cmd --add-port=443/tcp --permanent
2 Contoh melumpuhkan respons ICMP:
sudo firewall-cmd --permanent --add-rich-rule=. 'rule protocol value="icmp" drop'
sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sudo sysctl. -p
Ringkasan:
Dengan memasang dan mengkonfigurasi tembok api, menambah peraturan port, melumpuhkan respons ICMP, mendayakan perlindungan Kuki SYN dan menyekat akses SSH, kami boleh menghalang pengimbasan port oleh penyerang luaran dengan berkesan dan meningkatkan keselamatan sistem. Pada masa yang sama, kita juga harus memantau log sistem dengan kerap untuk mengesan dan bertindak balas terhadap kemungkinan serangan tepat pada masanya. Hanya dengan menggunakan pelbagai langkah keselamatan secara menyeluruh kita boleh melindungi sistem kita dengan lebih baik daripada ancaman serangan luar.
Atas ialah kandungan terperinci Bagaimana untuk menyediakan sistem CentOS anda untuk menyekat imbasan port daripada penyerang luar. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!