Linux サーバーのセキュリティ構成: システム防御機能を向上させる

Linux サーバーのセキュリティ構成: システム防御機能の向上

インターネットの急速な発展に伴い、サーバーのセキュリティの問題がますます顕著になってきています。サーバーの安定性とデータのセキュリティを保護するために、サーバー管理者は Linux サーバーのセキュリティ構成を強化する必要があります。この記事では、一般的な Linux サーバーのセキュリティ構成方法をいくつか紹介し、管理者がシステムの防御機能を向上させるのに役立つ関連コード例を示します。

1. システムとソフトウェア パッケージを更新する
   サーバーのオペレーティング システムとソフトウェア パッケージを最新の状態に保つことは、サーバーのセキュリティを確保するための重要な手順の 1 つです。システムとソフトウェア パッケージをタイムリーに更新すると、発見された脆弱性が修正され、より強力なセキュリティ機能が提供されます。以下は、yum を使用して CentOS システムのシステムとソフトウェア パッケージを更新するためのサンプル コードです。

sudo yum update

2. 不要なサービスを無効にする
   Linux サーバーはデフォルトで多くの不要なサービスを開始します。攻撃者がシステムに侵入する潜在的なエントリ ポイントになる可能性があります。サーバー上で有効になっているすべてのサービスを慎重に確認し、実際のニーズに基づいて不要なサービスを無効にする必要があります。以下は、CentOS システムでサービスを無効にするサンプル コードです。

sudo systemctl stop <service-name>
sudo systemctl disable <service-name>

3. ファイアウォールの構成
   ファイアウォールは、サーバーをネットワーク攻撃から保護するための重要なコンポーネントの 1 つです。ファイアウォール ルールを構成することにより、サーバーがアクセスを許可する IP アドレス、ポート、およびプロトコルを制限できます。以下は、CentOS システムでファイアウォール構成サービス firewalld を使用するためのサンプル コードです。

# 启动防火墙服务
sudo systemctl start firewalld

# 开启SSH访问
sudo firewall-cmd --zone=public --add-port=22/tcp --permanent
sudo firewall-cmd --reload

# 开启Web服务访问
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --reload

4. SSH アクセスの構成
   SSH は、管理者がサーバーにログインするための一般的な方法です。遠隔で。 SSH アクセスのセキュリティを強化するために、次の構成を実行できます。

• デフォルトの SSH ポートを変更します。デフォルトのポート 22 を通常とは異なるポートに変更すると、ブルート攻撃のリスクを軽減できます。強制クラック。
• root ユーザーのログインを無効にする: root ユーザーが SSH を直接使用してサーバーにログインすることを禁止すると、攻撃者の侵入が困難になる可能性があります。
• 公開キー ログインの構成: パスワードの代わりにキー ペアを使用してサーバーにログインすると、セキュリティを高めることができます。

以下は、SSH 構成ファイルを変更するためのサンプル コードです:

sudo vi /etc/ssh/sshd_config

# 修改SSH默认端口
Port 2222

# 禁用root用户登录
PermitRootLogin no

# 配置公钥登录
RSAAuthentication yes
PubkeyAuthentication yes

変更が完了したら、次のコマンドを使用して SSH サービスを再起動します:

sudo systemctl restart sshd

5. ブルート フォース クラッキングに対する制限の追加
   SSH パスワードのブルート フォース クラッキングを防ぐために、失敗する SSH ログインの回数と時間間隔を制限する制限メカニズムを追加できます。以下は、fail2ban ツールを使用して SSH ブルート フォース クラッキングを制限するサンプル コードです。

# 安装fail2ban
sudo yum install epel-release
sudo yum install fail2ban

# 创建自定义配置文件
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

# 编辑配置文件
sudo vi /etc/fail2ban/jail.local

# 修改SSH相关配置
[sshd]
enabled  = true
port     = ssh
logpath  = %(sshd_log)s
backend  = %(sshd_backend)s
maxretry = 3
bantime  = 3600

# 启动fail2ban服务
sudo systemctl start fail2ban
sudo systemctl enable fail2ban

上記は、一般的な Linux サーバーのセキュリティ構成方法とサンプル コードの一部です。もちろん、サーバーのセキュリティに関しては、適切なファイル権限の構成、強力なパスワードの使用など、他にも注意すべき点がたくさんあります。サーバーのセキュリティを構成する場合、管理者はサーバーの実際の環境とニーズを総合的に考慮し、システムの防御機能を向上させるためにセキュリティ ポリシーを合理的に策定する必要があります。

以上がLinux サーバーのセキュリティ構成: システム防御機能を向上させるの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。