Pelayan Linux memainkan peranan penting dalam era Internet hari ini dan digunakan secara meluas untuk pengehosan dan penggunaan aplikasi web. Walau bagaimanapun, disebabkan penggunaannya yang meluas, pelayan Linux juga menjadi sasaran penyerang. Untuk melindungi keselamatan pelayan, strategi perlindungan antara muka Web telah menjadi tugas penting.
Artikel ini akan memperkenalkan penyelesaian inovatif untuk meningkatkan keselamatan pelayan Linux dan strategi perlindungan untuk antara muka web, memperdalam pemahaman melalui contoh kod.
Pertama, kita perlu menggunakan tembok api untuk menyekat akses kepada pelayan. Di bawah ialah contoh peraturan iptables mudah yang membenarkan akses kepada port HTTP dan SSH pelayan daripada alamat IP tertentu sambil menafikan akses daripada IP lain.
iptables -A INPUT -p tcp -s 192.168.1.100 --dport 80 -j ACCEPT iptables -A INPUT -p tcp -s 192.168.1.100 --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -p tcp --dport 22 -j DROP
Dalam kod di atas, dua peraturan pertama membenarkan hos dengan alamat IP 192.168.1.100 untuk mengakses port pelayan 80 (HTTP) dan port 22 (SSH), manakala dua peraturan terakhir menafikan akses kepada alamat IP lain.
Kedua, kita boleh menggunakan Fail2ban untuk menghalang percubaan log masuk berniat jahat. Fail2ban ialah aplikasi berasaskan Python yang memantau fail log pada pelayan dan secara automatik menambahkan alamat IP penyerang ke senarai hitam firewall apabila beberapa percubaan log masuk yang gagal dikesan. Di bawah ialah contoh konfigurasi Fail2ban yang mudah.
[DEFAULT] bantime = 86400 findtime = 600 maxretry = 3 [sshd] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log [http-get-dos] enabled = true port = http,https filter = http-get-dos logpath = /var/log/apache2/access.log
Dalam fail konfigurasi di atas, parameter bantime mentakrifkan masa (dalam saat) untuk penyerang ditambahkan ke senarai hitam, parameter findtime mentakrifkan tempoh masa untuk bilangan percubaan log masuk yang gagal yang mencetuskan penambahan senarai hitam , dan parameter maxretry mentakrifkan bilangan percubaan log masuk yang gagal yang dibenarkan oleh IP yang sama Bilangan percubaan maksimum.
Akhir sekali, kami boleh menggunakan ModSecurity untuk meningkatkan keselamatan aplikasi web kami. ModSecurity ialah tembok api aplikasi web sumber terbuka yang boleh mengesan dan menghalang pelbagai jenis serangan, seperti serangan skrip silang tapak (XSS), serangan suntikan SQL, dsb. Berikut ialah contoh konfigurasi ModSecurity yang mudah.
<IfModule mod_security2.c> SecRuleEngine On SecAuditEngine On SecResponseBodyAccess On SecRule REMOTE_ADDR "^127.0.0.1$" phase:1,nolog,allow SecRule REQUEST_HEADERS:User-Agent "bot" "phase:1,deny,id:10001" Include /etc/modsecurity/crs/*.conf </IfModule>
Dalam fail konfigurasi di atas, parameter SecRuleEngine dan SecAuditEngine digunakan untuk mendayakan ModSecurity dan fungsi pengelogan audit, dan parameter SecResponseBodyAccess digunakan untuk membenarkan akses kepada kandungan respons.
SecRule dan SecResponseBodyAccess digunakan untuk membenarkan permintaan daripada alamat IP tempatan dan menafikan permintaan yang mengandungi rentetan "bot" dalam User-Agent masing-masing.
Melalui penyelesaian inovatif yang diperkenalkan di atas, kami boleh meningkatkan keselamatan pelayan Linux dan strategi perlindungan antara muka web. Walau bagaimanapun, keselamatan pelayan adalah proses dinamik yang memerlukan kemas kini dan penyelenggaraan yang berterusan. Pembangun dan pentadbir sistem harus memberi perhatian yang teliti terhadap kelemahan keselamatan pelayan dan ancaman keselamatan terkini, dan mengambil langkah yang sesuai untuk melindungi keselamatan pelayan.
Atas ialah kandungan terperinci Keselamatan Pelayan Linux: Penyelesaian Inovatif untuk Strategi Perlindungan Antara Muka Web.. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!