Bagaimana untuk memantau pelayan CentOS dan mengesan serta bertindak balas terhadap insiden keselamatan tepat pada masanya

Cara memantau pelayan CentOS dan mengesan serta bertindak balas terhadap insiden keselamatan tepat pada masanya

Dalam era Internet, pelayan memainkan peranan penting, membawa pelbagai perniagaan dan data, jadi pemantauan keselamatan pelayan amat penting. Artikel ini akan memperkenalkan cara memantau pelayan CentOS dan mengesan serta bertindak balas terhadap insiden keselamatan tepat pada masanya. Kami akan membincangkan bidang berikut: pemantauan sistem, pemantauan rangkaian, pemantauan log dan pengendalian acara keselamatan.

1. Pemantauan Sistem
   Untuk mengesan anomali pelayan dalam masa, kami boleh menggunakan beberapa alat untuk memantau prestasi dan status pelayan. Alat pemantauan sistem yang biasa digunakan termasuk Zabbix, Nagios, dsb. Mengambil Zabbix sebagai contoh, kita boleh memasang dan mengkonfigurasinya melalui langkah-langkah berikut:

1) Pasang Pelayan Zabbix:

yum install zabbix-server-mysql zabbix-web-mysql -y

2) Pasang Ejen Zabbix:

yum install zabbix-agent -y

3) Konfigurasi Pelayan dan Ejen Zabbix:
Di Dalam fail konfigurasi /etc/zabbix/zabbix_server.conf pada bahagian Pelayan Zabbix, ubah suai maklumat sambungan pangkalan data: /etc/zabbix/zabbix_server.conf 中，修改数据库连接信息：

DBHost=localhost
DBName=zabbix
DBUser=zabbix
DBPassword=zabbix

在Zabbix Agent端的配置文件 /etc/zabbix/zabbix_agentd.conf 中，设置Server和ServerActive的IP地址为Zabbix Server的IP。

Server=Zabbix_Server_IP
ServerActive=Zabbix_Server_IP

4）启动Zabbix Server和Agent服务：

systemctl start zabbix-server
systemctl start zabbix-agent

通过Web界面访问Zabbix Server，进行监控项的配置和设定报警规则。

2. 网络监控
   除了系统监控，我们还需要对服务器所处的网络环境进行监控，以便及时发现异常。常用的网络监控工具有NetData、Icinga等。以NetData为例，我们可以通过以下步骤来安装和配置：

1）安装NetData：

bash <(curl -Ss https://my-netdata.io/kickstart.sh)

2）启动NetData服务：

systemctl start netdata

通过浏览器访问http://服务器IP:19999，即可查看服务器的网络状态和性能信息。

3. 日志监控
   日志监控是非常重要的，它可以帮助我们及时察觉到潜在的安全问题。常用的日志监控工具有ELK Stack（Elasticsearch, Logstash, Kibana）、Graylog等。以ELK Stack为例，我们可以通过以下步骤来安装和配置：

1）安装和配置Elasticsearch：

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/elasticsearch.repo
yum install elasticsearch -y

vi /etc/elasticsearch/elasticsearch.yml
cluster.name: my-application
node.name: node-1
network.host: 0.0.0.0

2）安装和配置Logstash：

rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[logstash-7.x]
name=Elastic repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/logstash.repo
yum install logstash -y

vi /etc/logstash/conf.d/logstash.conf
input {
  file {
    path => "/var/log/*.log"
    start_position => "beginning"
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
  }
}

3）安装和配置Kibana：

echo "[kibana-7.x]
name=Kibana repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee /etc/yum.repos.d/kibana.repo
yum install kibana -y

vi /etc/kibana/kibana.yml
server.host: "0.0.0.0"

4）启动Elasticsearch、Logstash和Kibana服务：

systemctl start elasticsearch
systemctl start logstash
systemctl start kibana

通过浏览器访问http://服务器IP:5601，进行Kibana的配置。

4. 安全事件处理
   一旦发现服务器的安全事件，我们需要及时处理和应对。可以根据具体情况进行相应的操作，如封禁异常IP、关闭漏洞服务、修复漏洞等。以下是一个示例代码，用于封禁异常IP地址：

   #!/bin/bash
   
   IP="192.168.1.100"
   
   iptables -I INPUT -s $IP -j DROP
   service iptables save

将以上代码保存为block_ip.sh

chmod +x block_ip.sh

Dalam fail konfigurasi /etc/zabbix/zabbix_agentd.conf</code > di sebelah Ejen Zabbix > , tetapkan alamat IP Pelayan dan ServerActive kepada IP Pelayan Zabbix. <p><div class="code" style="position:relative; padding:0px; margin:0px;"><pre class='brush:php;toolbar:false;'>./block_ip.sh</pre><div class="contentsignin">Salin selepas log masuk</div></div>4) Mulakan perkhidmatan Pelayan dan Ejen Zabbix: <p>rrreee</p>Akses Pelayan Zabbix melalui antara muka web untuk mengkonfigurasi item pemantauan dan menetapkan peraturan penggera. 🎜<ol start="2">🎜Pemantauan rangkaian🎜Selain pemantauan sistem, kami juga perlu memantau persekitaran rangkaian di mana pelayan berada untuk mengesan keabnormalan dalam masa. Alat pemantauan rangkaian yang biasa digunakan termasuk NetData, Icinga, dsb. Mengambil NetData sebagai contoh, kami boleh memasang dan mengkonfigurasinya melalui langkah berikut: 🎜🎜🎜1) Pasang NetData: 🎜rrreee🎜2) Mulakan perkhidmatan NetData: 🎜rrreee🎜Lawati <code>http://server IP:19999 melalui pelayar untuk melihat status rangkaian pelayan dan maklumat prestasi. 🎜

🎜Pemantauan log🎜Pemantauan log adalah sangat penting, ia boleh membantu kami mengesan isu keselamatan yang berpotensi tepat pada masanya. Alat pemantauan log yang biasa digunakan termasuk ELK Stack (Elasticsearch, Logstash, Kibana), Graylog, dsb. Mengambil ELK Stack sebagai contoh, kami boleh memasang dan mengkonfigurasinya melalui langkah berikut: 🎜🎜🎜1) Pasang dan konfigurasi Elasticsearch: 🎜rrreee🎜2) Pasang dan konfigurasi Logstash: 🎜rrreee🎜3) Pasang dan konfigurasi Kibana: 🎜rreee 🎜4 ) Mulakan perkhidmatan Elasticsearch, Logstash dan Kibana: 🎜rrreee🎜Lawati http://server IP:5601 melalui penyemak imbas untuk mengkonfigurasi Kibana. 🎜
🎜🎜Pengendalian insiden keselamatan🎜Setelah insiden keselamatan pada pelayan ditemui, kami perlu mengendalikan dan bertindak balas tepat pada masanya. Operasi yang sepadan boleh dilakukan mengikut keadaan tertentu, seperti menyekat IP yang tidak normal, menutup perkhidmatan yang terdedah, membaiki kelemahan, dsb. Berikut ialah contoh kod untuk menyekat alamat IP yang tidak normal: 🎜rrreee🎜🎜🎜Simpan kod di atas sebagai block_ip.sh dan berikan kebenaran pelaksanaan: 🎜rrreee🎜Laksanakan skrip untuk menyekat alamat IP yang ditentukan ： 🎜rrreee🎜Ringkasnya, kami boleh mencapai pemantauan tepat pada masanya dan tindak balas keselamatan kepada pelayan CentOS melalui pemantauan sistem, pemantauan rangkaian, pemantauan log dan pemprosesan acara keselamatan. Sudah tentu, ini hanyalah kaedah pemantauan dan pemprosesan asas Bergantung pada situasi dan keperluan tertentu, kami juga boleh menggunakan alat dan teknologi yang lebih maju untuk meningkatkan keselamatan dan kestabilan pelayan. Saya harap artikel ini dapat membantu semua orang. 🎜

Atas ialah kandungan terperinci Bagaimana untuk memantau pelayan CentOS dan mengesan serta bertindak balas terhadap insiden keselamatan tepat pada masanya. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!