首頁  >  文章  >  運維  >  如何設定CentOS系統以阻止外部攻擊者的連接埠掃描

如何設定CentOS系統以阻止外部攻擊者的連接埠掃描

PHPz
PHPz原創
2023-07-05 11:22:552708瀏覽

如何設定CentOS系統以阻止外部攻擊者的連接埠掃描

摘要:
隨著網路的不斷發展,網路安全問題越來越突出。外部攻擊者經常透過連接埠掃描來尋找系統中的安全漏洞。為了保護我們的系統,我們需要採取措施來阻止這些掃描。本文將介紹如何設定CentOS系統以阻止外部攻擊者的連接埠掃描,並提供了相關的程式碼範例。

一、安裝並設定防火牆
CentOS系統自帶了firewalld防火牆,我們可以透過設定防火牆來限制對系統的連接埠掃描。

1.安裝firewalld:
sudo yum install firewalld

2.啟動firewalld服務:
sudo systemctl start firewalld

3.設定firewalld開機自啟動:
sudo systemctl enable firewalld

4.查看firewalld狀態:
sudo firewall-cmd --state

二、新增連接埠規則
我們可以使用firewalld指令來新增連接埠規則,以阻止外部攻擊者的連接埠掃描。

1.查看系統開放的連接埠:
sudo firewall-cmd --list-ports

2.新增允許存取的連接埠:
sudo firewall-cmd --add -port=80/tcp --permanent
sudo firewall-cmd --add-port=443/tcp --permanent

3.移除預設開放的連接埠:
sudo firewall-cmd --remove-service=http --permanent
sudo firewall-cmd --remove-service=https --permanent

4.重新載入firewalld設定:
sudo firewall-cmd --reload

三、禁用ICMP回應
除了限制連接埠訪問,我們還可以停用ICMP回應,這樣可以有效阻止外部攻擊者進行常規的ping掃描。

1.停用ICMP回應:
sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" drop'

#2.重新載入firewalld設定:
sudo firewall-cmd --reload

四、開啟SYN Cookie保護
SYN Cookie是一種防範DoS和DDoS攻擊的機制,透過開啟SYN Cookie保護,我們可以有效防止外部攻擊者對系統進行連接埠掃描。

1.開啟SYN Cookie保護:
sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sudo sysctl -p

2.重新載入sysctl設定:
sudo sysctl --system

五、限制SSH存取
SSH是外部攻擊者常用的入侵手段之一,我們可以透過限制SSH存取來減少系統受到攻擊的風險。

1.編輯SSH設定檔:
sudo vi /etc/ssh/sshd_config

2.取消以下行註解並修改為指定的連接埠和IP:

Port 22

PermitRootLogin yes

PasswordAuthentication yes

AllowUsers user_name@ip_address

3.儲存檔案並重新啟動SSH服務:
sudo service sshd restart

六、監控系統日誌
最後,我們應該定期監控系統的日誌,以便及時發現並應對可能的攻擊。

1.查看系統日誌:
sudo tail -f /var/log/messages

程式碼範例:

1.新增允許80和443連接埠存取的規則:
sudo firewall-cmd --add-port=80/tcp --permanent
sudo firewall-cmd --add-port=443/tcp --permanent

2.停用ICMP回應的範例:
sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" drop'

3.開啟SYN Cookie保護的範例:
sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sudo sysctl -p

總結:
透過安裝並設定防火牆、新增連接埠規則、停用ICMP回應、開啟SYN Cookie保護和限制SSH存取等措施,我們可以有效地阻止外部攻擊者的連接埠掃描,提高系統的安全性。同時,我們也應該定期監控系統日誌,及時發現並應對潛在的攻擊。只有綜合運用各種安全措施,我們才能更好地保護我們的系統免受外部攻擊的威脅。

以上是如何設定CentOS系統以阻止外部攻擊者的連接埠掃描的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn