Bagaimana untuk menyediakan sistem CentOS anda untuk menyekat imbasan port daripada penyerang luar

PHPz
Lepaskan: 2023-07-05 11:22:55
asal
2706 orang telah melayarinya

Cara menyediakan sistem CentOS untuk menyekat pengimbasan port oleh penyerang luar

Abstrak:
Dengan pembangunan berterusan Internet, isu keselamatan rangkaian menjadi semakin ketara. Penyerang luar sering menggunakan pengimbasan port untuk mencari lubang keselamatan dalam sistem. Untuk melindungi sistem kami, kami perlu mengambil langkah untuk menyekat imbasan ini. Artikel ini akan memperkenalkan cara menyediakan sistem CentOS untuk menghalang pengimbasan port oleh penyerang luar dan memberikan contoh kod yang berkaitan.

1. Pasang dan konfigurasikan tembok api
Sistem CentOS disertakan dengan tembok api tembok Kami boleh mengehadkan pengimbasan port sistem dengan mengkonfigurasi tembok api.

1. Pasang firewalld:
sudo yum pasang firewalld

2 Mulakan perkhidmatan firewalld:
sudo systemctl mulakan firewalld

3.
sudo firewall-cmd --state

2. Tambah peraturan port
Kita boleh menggunakan arahan firewalld untuk menambah peraturan port untuk menghalang pengimbasan port oleh penyerang luar.

1. Lihat port yang terbuka kepada sistem:
sudo firewall-cmd --list-ports

2. Tambah port yang dibenarkan untuk diakses:
sudo firewall-cmd --add-port=80/tcp. --permanent

sudo firewall -cmd --add-port=443/tcp --permanent


3 Alih keluar port terbuka lalai:
sudo firewall-cmd --remove-service=http --permanent

sudo firewall-cmd. --remove-service =https --permanent


4 Muat semula konfigurasi firewall:
sudo firewall-cmd --reload

3 Disable ICMP responses
Selain menyekat akses port, kami juga boleh melumpuhkan respons ICMP, yang. berkesan boleh menghalang penyerang luar daripada menjalankan imbasan ping biasa.

1. Lumpuhkan respons ICMP:
sudo firewall-cmd --permanent --add-rich-rule='rule protocol value="icmp" drop'

2. Muat semula konfigurasi firewall:
sudo firewall-cmd -- muat semula

4. Hidupkan perlindungan Kuki SYN
Kuki SYN ialah mekanisme untuk menghalang serangan DoS dan DDoS Dengan menghidupkan perlindungan Kuki SYN, kami boleh menghalang penyerang luar daripada mengimbas sistem dengan berkesan.

1. Dayakan perlindungan kuki SYN:
sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf

sudo sysctl -p

sysctl configuration

2

5. Hadkan akses SSH
SSH ialah salah satu kaedah pencerobohan yang biasa digunakan oleh penyerang luar Kami boleh mengurangkan risiko serangan sistem dengan menyekat akses SSH.

1. Edit fail konfigurasi SSH:
sudo vi /etc/ssh/sshd_config

2 Nyahkomen baris berikut dan ubah suainya ke port dan IP yang ditentukan:

Port 22

PermitRootLogin

YesAkarPermit

Ya.

AllowUsers user_name@ip_address

3. Simpan fail dan mulakan semula perkhidmatan SSH:

sudo service sshd restart

6. Pantau log sistem

Akhir sekali, kita harus sentiasa memantau log sistem untuk mengesan dan bertindak balas terhadap kemungkinan serangan dalam masa .

1. Lihat log sistem:

sudo tail -f /var/log/messages

Contoh kod:


1. Tambah peraturan yang membenarkan akses ke port 80 dan 443:

sudo firewall-cmd --add-port. =80 /tcp --permanent

sudo firewall-cmd --add-port=443/tcp --permanent

2 Contoh melumpuhkan respons ICMP:
sudo firewall-cmd --permanent --add-rich-rule=. 'rule protocol value="icmp" drop'

3. Contoh menghidupkan perlindungan Cookie SYN:

sudo echo "net.ipv4.tcp_syncookies = 1" >> /etc/sysctl.conf
sudo sysctl. -p

Ringkasan:
Dengan memasang dan mengkonfigurasi tembok api, menambah peraturan port, melumpuhkan respons ICMP, mendayakan perlindungan Kuki SYN dan menyekat akses SSH, kami boleh menghalang pengimbasan port oleh penyerang luaran dengan berkesan dan meningkatkan keselamatan sistem. Pada masa yang sama, kita juga harus memantau log sistem dengan kerap untuk mengesan dan bertindak balas terhadap kemungkinan serangan tepat pada masanya. Hanya dengan menggunakan pelbagai langkah keselamatan secara menyeluruh kita boleh melindungi sistem kita dengan lebih baik daripada ancaman serangan luar.

Atas ialah kandungan terperinci Bagaimana untuk menyediakan sistem CentOS anda untuk menyekat imbasan port daripada penyerang luar. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan