Langkah berjaga-jaga keselamatan untuk membina pelayan web pada CentOS

Langkah berjaga-jaga keselamatan untuk membina pelayan web di CentOS

Dengan perkembangan Internet, membina pelayan web telah menjadi semakin biasa. Sebagai sistem pengendalian biasa, CentOS menyediakan banyak alat dan fungsi yang mudah apabila membina pelayan web. Walau bagaimanapun, keselamatan adalah faktor penting yang mesti dipertimbangkan oleh mana-mana pelayan Web. Artikel ini akan memperkenalkan beberapa isu keselamatan yang perlu diberi perhatian semasa membina pelayan web CentOS dan memberikan contoh kod yang berkaitan.

1. Kemas kini dan naik taraf:
   Sebelum menyediakan pelayan web, pastikan dahulu sistem CentOS telah dikemas kini dan dinaik taraf kepada versi terkini. Ini boleh dicapai dengan arahan berikut:

   sudo yum update

   Salin selepas log masuk

   Ini akan mengemas kini semua pakej sistem CentOS anda dan menambal sebarang kelemahan keselamatan yang diketahui.

2. Konfigurasi Firewall:
   CentOS mempunyai firewall yang didayakan secara lalai, tetapi konfigurasi lalai mungkin tidak mencukupi untuk menyediakan keselamatan yang mencukupi. Berikut ialah beberapa contoh konfigurasi tembok api biasa:

   • Buka port protokol HTTP (80) dan port protokol HTTPS (443):

   sudo firewall-cmd --permanent --add-service=http sudo firewall-cmd --permanent --add-service=https sudo firewall-cmd --reload

   Salin selepas log masuk
   • Buka port tersuai lain:

   sudo firewall-cmd --permanent --add-port=8888/tcp sudo firewall-cmd --reload

   Salin selepas log masuk

   Arahan dalam contoh ini digunakan secara kekal port atau perkhidmatan yang sepadan dan muat semula konfigurasi tembok api.

3. Alih keluar perkhidmatan yang tidak diperlukan:
   CentOS akan memasang beberapa perkhidmatan dan pakej perisian yang tidak diperlukan secara lalai, dan perkhidmatan ini mungkin menimbulkan risiko keselamatan. Semua perkhidmatan yang dipasang boleh disenaraikan melalui arahan berikut:

   sudo systemctl list-unit-files | grep enabled

   Salin selepas log masuk

   Mengikut keperluan sebenar, anda boleh menggunakan arahan berikut untuk melumpuhkan perkhidmatan yang tidak diperlukan:

   sudo systemctl disable servicename

   Salin selepas log masuk

   Untuk mengalih keluar perkhidmatan sepenuhnya, anda boleh menggunakan arahan berikut:

   sudo yum remove packagename

   Salin selepas log masuk

4. Konfigurasi Pelayan Web:
   Apabila membina pelayan web, anda perlu memberi perhatian kepada langkah berjaga-jaga keselamatan konfigurasi berikut:

   • Ubah suai port SSH lalai:

   Mengubah suai port SSH boleh meningkatkan keselamatan pelayan. Edit fail konfigurasi SSH/etc/ssh/sshd_configdan ubah suai medanPort, dan kemudian mulakan semula perkhidmatan SSH./etc/ssh/sshd_config并修改Port字段，然后重启SSH服务。

   • 禁用远程Root登录：

   远程Root登录是一种潜在的安全风险。编辑SSH配置文件/etc/ssh/sshd_config并修改PermitRootLogin字段为no，然后重启SSH服务。

   • 配置安全的密码策略：

   编辑/etc/login.defs

   Lumpuhkan Log Masuk Root Jauh:

   • Log masuk Root Jauh adalah potensi risiko keselamatan. Edit fail konfigurasi SSH/etc/ssh/sshd_configdan ubah suai medanPermitRootLoginkepadano, dan kemudian mulakan semula perkhidmatan SSH.

   Konfigurasikan dasar kata laluan selamat:

   Edit fail/etc/login.defsdan ubah suai medan berikut untuk menetapkan dasar kata laluan:

   PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_WARN_AGE 14

   Salin selepas log masuk
   Medan ini menetapkan tempoh sah kata laluan maksimum , kata laluan masing-masing Bilangan hari minimum untuk digunakan dan bilangan hari amaran sebelum kata laluan tamat tempoh.

   Gunakan protokol HTTPS:

sudo yum install certbot

sudo certbot --apache

Atas ialah kandungan terperinci Langkah berjaga-jaga keselamatan untuk membina pelayan web pada CentOS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!