Petua pengukuhan keselamatan rangkaian untuk membina pelayan web di bawah CentOS 7
Pelayan web adalah bahagian penting dalam Internet moden, jadi sangat penting untuk melindungi keselamatan pelayan web. Dengan mengeraskan keselamatan rangkaian, anda boleh mengurangkan risiko dan mengelakkan kemungkinan serangan. Artikel ini akan memperkenalkan teknik pengerasan keselamatan rangkaian yang biasa digunakan semasa membina pelayan web pada CentOS 7, dan memberikan contoh kod yang sepadan.
- Kemas kini sistem dan perisian
Pertama, pastikan sistem dan perisian anda dikemas kini. Anda boleh menggunakan arahan berikut untuk mengemas kini pakej pada CentOS 7:
sudo yum update
Salin selepas log masuk
- Matikan perkhidmatan yang tidak diperlukan
Untuk meningkatkan keselamatan sistem, beberapa perkhidmatan yang tidak diperlukan harus dimatikan. Anda boleh menggunakan arahan berikut untuk melihat perkhidmatan yang dipasang pada masa ini:
sudo systemctl list-unit-files --type=service | grep enabled
Salin selepas log masuk
Seperti yang diperlukan, anda boleh menggunakan arahan berikut untuk menghentikan dan melumpuhkan perkhidmatan yang sepadan. Sebagai contoh, jika anda tidak perlu menggunakan pelayan FTP, anda boleh menghentikan dan melumpuhkan vsftpd:
sudo systemctl stop vsftpd
sudo systemctl disable vsftpd
Salin selepas log masuk
- Konfigurasi firewall
Konfigurasi firewall adalah salah satu langkah penting untuk melindungi pelayan web. Pada CentOS 7, firewalld boleh digunakan untuk mengurus firewall. Berikut ialah beberapa peraturan firewall yang biasa digunakan:
Benarkan trafik HTTP dan HTTPS ke dalam pelayan:
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --reload
Salin selepas log masuk
Benarkan sambungan SSH ke dalam pelayan:
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --reload
Salin selepas log masuk
Hadkan bilangan sambungan masuk:
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" limit value="5/m" accept'
sudo firewall-cmd --reload
Salin selepas log masuk
- Menggunakan komunikasi HTTPS untuk
HTTPS ialah protokol keselamatan yang melindungi komunikasi antara pelayan web dan klien dengan menggunakan penyulitan SSL atau TLS. Anda boleh menggunakan alat Certbot untuk menjana dan mengkonfigurasi sijil SSL secara automatik untuk tapak web anda. Berikut ialah contoh arahan untuk memasang dan mengkonfigurasi Certbot pada CentOS 7:
Mula-mula, pasang Certbot dan pemalam Certbot Nginx:
sudo yum install certbot python2-certbot-nginx
Salin selepas log masuk
Kemudian, dayakan SSL untuk tapak web anda:
sudo certbot --nginx
Salin selepas log masuk
- Pasang dan konfigurasikan Tembok Api Aplikasi Web
Tembok api aplikasi (WAF) boleh mengesan dan menyekat serangan terhadap aplikasi web. Pada CentOS 7, ModSecurity ialah alat WAF yang biasa digunakan. Berikut ialah contoh arahan untuk memasang dan mengkonfigurasi ModSecurity pada CentOS 7:
Mula-mula, pasang modul ModSecurity dan Nginx:
sudo yum install mod_security mod_security_crs nginx-mod-http-modsecurity
Salin selepas log masuk
Kemudian, dayakan ModSecurity:
sudo sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/httpd/conf.d/mod_security.conf
Salin selepas log masuk
Akhir sekali, mulakan semula perlindungan Nginx:
Configuree Toweree melindungi halaman log masuk pelayan web, anda boleh menyekat alamat IP yang mengakses halaman log masuk. Berikut ialah contoh kod untuk mengkonfigurasi perlindungan log masuk menggunakan Nginx:
Edit fail konfigurasi Nginx: sudo systemctl restart nginx
Salin selepas log masuk
Tambah kod berikut dalam blok "http":
sudo nano /etc/nginx/nginx.conf
Salin selepas log masuk
Simpan dan keluar daripada fail konfigurasi. Kemudian buat nama pengguna dan kata laluan untuk pengesahan log masuk:
map $remote_addr $limited_access {
192.168.1.1 '';
10.0.0.0/24 '';
default 1;
}
server {
...
location /login {
deny all;
allow $limited_access;
auth_basic "Restricted Access";
auth_basic_user_file /etc/nginx/.htpasswd;
}
}Salin selepas log masuk
Akhir sekali, mulakan semula Nginx:
sudo htpasswd -c /etc/nginx/.htpasswd username
Salin selepas log masuk
Artikel ini memperkenalkan teknik pengukuhan keselamatan rangkaian yang biasa digunakan semasa membina pelayan web di bawah CentOS 7. Anda boleh meningkatkan keselamatan rangkaian pelayan web anda dengan mengemas kini sistem dan perisian anda, mematikan perkhidmatan yang tidak diperlukan, mengkonfigurasi tembok api, menyulitkan komunikasi menggunakan HTTPS, memasang dan mengkonfigurasi tembok api aplikasi web dan mengkonfigurasi perlindungan log masuk. Semoga tips di atas dapat membantu anda.
Atas ialah kandungan terperinci Teknik pengukuhan keselamatan rangkaian untuk membina pelayan web di bawah CentOS 7. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
