Teknik pengukuhan keselamatan rangkaian untuk membina pelayan web di bawah CentOS 7

Petua pengukuhan keselamatan rangkaian untuk membina pelayan web di bawah CentOS 7

Pelayan web adalah bahagian penting dalam Internet moden, jadi sangat penting untuk melindungi keselamatan pelayan web. Dengan mengeraskan keselamatan rangkaian, anda boleh mengurangkan risiko dan mengelakkan kemungkinan serangan. Artikel ini akan memperkenalkan teknik pengerasan keselamatan rangkaian yang biasa digunakan semasa membina pelayan web pada CentOS 7, dan memberikan contoh kod yang sepadan.

1. Kemas kini sistem dan perisian
   Pertama, pastikan sistem dan perisian anda dikemas kini. Anda boleh menggunakan arahan berikut untuk mengemas kini pakej pada CentOS 7:

sudo yum update

2. Matikan perkhidmatan yang tidak diperlukan
   Untuk meningkatkan keselamatan sistem, beberapa perkhidmatan yang tidak diperlukan harus dimatikan. Anda boleh menggunakan arahan berikut untuk melihat perkhidmatan yang dipasang pada masa ini:

sudo systemctl list-unit-files --type=service | grep enabled

Seperti yang diperlukan, anda boleh menggunakan arahan berikut untuk menghentikan dan melumpuhkan perkhidmatan yang sepadan. Sebagai contoh, jika anda tidak perlu menggunakan pelayan FTP, anda boleh menghentikan dan melumpuhkan vsftpd:

sudo systemctl stop vsftpd
sudo systemctl disable vsftpd

3. Konfigurasi firewall
   Konfigurasi firewall adalah salah satu langkah penting untuk melindungi pelayan web. Pada CentOS 7, firewalld boleh digunakan untuk mengurus firewall. Berikut ialah beberapa peraturan firewall yang biasa digunakan:

Benarkan trafik HTTP dan HTTPS ke dalam pelayan:

sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload

Benarkan sambungan SSH ke dalam pelayan:

sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload

Hadkan bilangan sambungan masuk:

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" limit value="5/m" accept'
sudo firewall-cmd --reload

4. Menggunakan komunikasi HTTPS untuk
   HTTPS ialah protokol keselamatan yang melindungi komunikasi antara pelayan web dan klien dengan menggunakan penyulitan SSL atau TLS. Anda boleh menggunakan alat Certbot untuk menjana dan mengkonfigurasi sijil SSL secara automatik untuk tapak web anda. Berikut ialah contoh arahan untuk memasang dan mengkonfigurasi Certbot pada CentOS 7:

Mula-mula, pasang Certbot dan pemalam Certbot Nginx:

sudo yum install certbot python2-certbot-nginx

Kemudian, dayakan SSL untuk tapak web anda:

sudo certbot --nginx

5. Pasang dan konfigurasikan Tembok Api Aplikasi Web
   Tembok api aplikasi (WAF) boleh mengesan dan menyekat serangan terhadap aplikasi web. Pada CentOS 7, ModSecurity ialah alat WAF yang biasa digunakan. Berikut ialah contoh arahan untuk memasang dan mengkonfigurasi ModSecurity pada CentOS 7:

Mula-mula, pasang modul ModSecurity dan Nginx:

sudo yum install mod_security mod_security_crs nginx-mod-http-modsecurity

Kemudian, dayakan ModSecurity:

sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/httpd/conf.d/mod_security.conf

Akhir sekali, mulakan semula perlindungan Nginx:

Configuree Toweree melindungi halaman log masuk pelayan web, anda boleh menyekat alamat IP yang mengakses halaman log masuk. Berikut ialah contoh kod untuk mengkonfigurasi perlindungan log masuk menggunakan Nginx:

6. 
   Edit fail konfigurasi Nginx:

sudo systemctl restart nginx

Tambah kod berikut dalam blok "http":

sudo nano /etc/nginx/nginx.conf

Simpan dan keluar daripada fail konfigurasi. Kemudian buat nama pengguna dan kata laluan untuk pengesahan log masuk:

map $remote_addr $limited_access {
    192.168.1.1     '';
    10.0.0.0/24     '';
    default         1;
}

server {
    ...
    location /login {
        deny all;
        allow $limited_access;
        auth_basic "Restricted Access";
        auth_basic_user_file /etc/nginx/.htpasswd;
    }
}

Akhir sekali, mulakan semula Nginx:

sudo htpasswd -c /etc/nginx/.htpasswd username

Artikel ini memperkenalkan teknik pengukuhan keselamatan rangkaian yang biasa digunakan semasa membina pelayan web di bawah CentOS 7. Anda boleh meningkatkan keselamatan rangkaian pelayan web anda dengan mengemas kini sistem dan perisian anda, mematikan perkhidmatan yang tidak diperlukan, mengkonfigurasi tembok api, menyulitkan komunikasi menggunakan HTTPS, memasang dan mengkonfigurasi tembok api aplikasi web dan mengkonfigurasi perlindungan log masuk. Semoga tips di atas dapat membantu anda.

Atas ialah kandungan terperinci Teknik pengukuhan keselamatan rangkaian untuk membina pelayan web di bawah CentOS 7. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!