ホームページ > 運用・保守 > Linuxの運用と保守 > Linux システムでネットワーク セキュリティを構成および保護する方法

Linux システムでネットワーク セキュリティを構成および保護する方法

王林
リリース: 2023-11-08 10:45:23
オリジナル
1159 人が閲覧しました

Linux システムでネットワーク セキュリティを構成および保護する方法

Linux システムの普及に伴い、ネットワーク セキュリティは重要なタスクになっています。システム管理者はさまざまなセキュリティの脅威に直面しながら、ネットワークのセキュリティ構成やサーバーの保護対策を実装する必要があります。この記事では、Linux システムでネットワーク セキュリティを構成および保護する方法を紹介し、いくつかの具体的なコード例を示します。

  1. ファイアウォールの構成
    Linux システムはデフォルトで iptables をファイアウォールとして使用します。これは次のコマンドで構成できます:
# 关闭现有防火墙
service iptables stop

# 清空iptables规则
iptables -F

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许ping
iptables -A INPUT -p icmp -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许SSH访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 其他访问一律禁止
iptables -P INPUT DROP
iptables -P FORWARD DROP
ログイン後にコピー
  1. 不要なサービスを閉じます。
    Linux システムでは、バックグラウンドで不必要なサービスが実行されていることが多く、これらのサービスはサーバー リソースを占有し、システムに潜在的なセキュリティ リスクをもたらします。次のコマンドを使用して、不要なサービスをシャットダウンできます:
# 关闭NFS服务
service nfs stop
chkconfig nfs off

# 关闭X Window图形界面
yum groupremove "X Window System"

# 关闭FTP服务
service vsftpd stop
chkconfig vsftpd off
ログイン後にコピー
  1. Fail2ban をインストールして使用する
    Fail2ban は、ネットワーク状態を監視し、不審なログインを検出できるオープン ソースのセキュリティ ツールです。ファイアウォールを介して制限を自動的にブラックリストに登録し、ネットワーク セキュリティを効果的に保護します。 Fail2ban は、次のコマンドでインストールできます:
yum install fail2ban -y
ログイン後にコピー

構成ファイル:/etc/fail2ban/jail.conf

カスタム ルールの追加:

# 在jail.conf文件中添加一行:
[my_sshd]
enabled = true
port = ssh
filter = my_sshd
logpath = /var/log/secure
maxretry = 3
ログイン後にコピー

フィルター ルールの作成:

# 在/etc/fail2ban/filter.d/目录下,创建my_sshd.conf文件,然后编辑:
[Definition]
failregex = .*Failed (password|publickey).* from <HOST>
ignoreregex =
ログイン後にコピー
  1. SSH の設定
    SSH は非常に強力で広く使用されているリモート ログイン プロトコルであり、多くのハッカー攻撃の標的でもあります。したがって、SSH を使用する場合は、いくつかのセキュリティ対策を講じる必要があります:
# 修改SSH默认端口
vim /etc/ssh/sshd_config
# 将Port 22修改为其他端口,例如:
Port 22222

# 禁止root登录
vim /etc/ssh/sshd_config
# 将PermitRootLogin yes修改为PermitRootLogin no

# 限制用户登录
vim /etc/ssh/sshd_config
# 添加以下内容:
AllowUsers user1 user2
ログイン後にコピー
  1. IPv6 を無効にする
    ほとんどのサーバー ネットワーク環境では、IPv6 は必要ありません。IPv6 を無効にすると、システムのリスクを効果的に軽減できます。攻撃の割合:
# 添加以下内容到/etc/sysctl.conf文件中:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 使用以下命令生效:
sysctl -p
ログイン後にコピー

概要
この記事では、ファイアウォールの構成、不要なサービスのシャットダウン、Fail2ban のインストールと使用、次のような側面の構成など、Linux システムでネットワーク セキュリティを構成および保護する方法を紹介します。 SSH と IPv6 の無効化。この記事で提供されているサンプル コードは、管理者がネットワーク セキュリティ作業をより便利かつ迅速に完了するのに役立ちます。実際のアプリケーションでは、特定の状況に応じて対応する調整と改善を行う必要があります。

以上がLinux システムでネットワーク セキュリティを構成および保護する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート