Linux を使用してセキュリティ脆弱性のスキャンと修復を行う方法

Linux を使用してセキュリティの脆弱性をスキャンして修復する方法

今日のデジタル時代では、ネットワーク セキュリティの脅威はますます深刻になり、セキュリティの脆弱性はネットワーク システムの安定性と信頼性を制限する重要な要素となっています。 Linuxシステムは、ネットワークシステムの中核OSの一つとして、セキュリティの観点から常に注目を集めています。この記事では、Linux を使用してセキュリティの脆弱性をスキャンおよび修復し、ユーザーがシステムのセキュリティを向上できるようにする方法を紹介します。

1. セキュリティ脆弱性スキャン

1. 脆弱性スキャンに OpenVAS を使用する

OpenVAS は、幅広い脆弱性スキャンと機能を提供するオープンソースの脆弱性スキャナーです。修復ソリューション。 Linux システムでは、次の手順で OpenVAS をインストールして構成できます。

1) ターミナルで次のコマンドを実行して、OpenVAS をインストールします。

sudo apt-get install openvas

2) インストールが完了したら、次のコマンドを実行します。次のコマンドを実行して OpenVAS を初期化します:

sudo openvas-setup

3) 初期化が完了したら、次のコマンドを実行して OpenVAS サービスを開始します:

sudo openvas-start

4) サービスを開始した後、次のアドレスを入力しますブラウザで https://localhost:9392 を使用し、デフォルトのユーザー名とパスワードを使用して OpenVAS 管理インターフェイスにログインします。

5) OpenVAS 管理インターフェイスでは、スキャン対象とスキャン戦略を設定し、スキャン タスクを実行できます。スキャン結果には、システムに存在するセキュリティの脆弱性に関する情報が表示されます。

2. 脆弱性スキャンに Nmap を使用する

Nmap は、よく知られたオープンソースのネットワーク スキャン ツールで、豊富なスキャン機能を提供し、ネットワークに存在する脆弱性を特定するために使用できます。ネットワーク、セキュリティの脆弱性。 Linux システムでは、次のコマンドを使用して Nmap をインストールして使用できます:

1) ターミナルで次のコマンドを実行して Nmap をインストールします:

sudo apt-get install nmap

2) インストールが完了したら、次のコマンドを実行します。脆弱性スキャンを実行するには、次のコマンドを使用します。

sudo nmap -p 1-65535 -T4 -A -v <target>

ここで、<target> は、ターゲット ホストの IP アドレスまたはドメイン名です。

3) Nmap は、ターゲット ホスト上でポート スキャンとサービス検出を実行し、スキャン結果に基づいてセキュリティの脆弱性があるかどうかを判断します。

2. セキュリティ脆弱性の修復

1. システム パッチのタイムリーな更新

システム メーカーは、発見されたセキュリティ脆弱性を修復するためにシステム パッチを定期的にリリースします。 Linux システムでは、次のコマンドを使用してシステム パッチを更新できます。

sudo apt-get update
sudo apt-get upgrade

2. ファイアウォールの構成

Linux システムには、一連の強力なファイアウォール ツール iptables が付属しています。 、これは、不正アクセスを防止するために iptables ルールを構成することができます。

1) 現在の iptables ルールを表示します:

sudo iptables -L

2) iptables ルールを構成します:

sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -i eth0 -j DROP

上記のルールは参照用であり、実際のニーズに応じて調整できます。

3. 不要なサービスを無効にする

システム内の不要なサービスを無効にすると、システムの攻撃対象領域を減らすことができます。次のコマンドを使用して、システムで実行されているサービスを表示できます:

sudo systemctl list-unit-files --type=service | grep enabled

次に、次のコマンドを使用して不要なサービスを無効にします:

sudo systemctl disable <service>

その中の <service> はサービスの名前です。

4. パスワード ポリシーの強化

強力なパスワード ポリシーを設定すると、パスワードの推測やブルート フォース クラックを効果的に防ぐことができます。次のコマンドを使用して、パスワード ポリシーを変更できます。

sudo nano /etc/pam.d/common-password

次の行を見つけて変更します。

password        requisite                       pam_pwquality.so retry=3
password        sufficient                      pam_unix.so obscure sha512

retry の値を 3 に設定し、pam_unix の前の不明瞭な部分を変更します。したがって、minlen=8 ucredit =-1 lcredit=-1 dcredit=-1 ocredit=-1 となります。

5. ログの監視と監査

システム ログの定期的な監視と監査は、セキュリティの脆弱性を発見して対応するための重要な手段です。次のコマンドを使用してシステム ログを表示できます。

sudo tail -f /var/log/syslog

システム ログを永続的に保存し、定期的にバックアップするように rsyslogd を構成できます。

概要:

この記事では、OpenVAS や Nmap などのツールを使用して脆弱性をスキャンし、システム パッチを適時に更新し、ファイアウォールを構成する、Linux を使用してセキュリティの脆弱性をスキャンおよび修復する方法を紹介します。ルールを変更し、不要なサービスを無効にし、パスワード ポリシーを強化し、システム ログを監視および監査することで、システムのセキュリティを向上させ、セキュリティの脆弱性によって引き起こされるリスクを軽減できます。ただし、セキュリティ作業に終わりはなく、ユーザーはシステムの健全性を維持するために定期的にセキュリティ スキャンと修復を実行する必要があります。

以上がLinux を使用してセキュリティ脆弱性のスキャンと修復を行う方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。