Keselamatan Pelayan Linux: Strategi untuk Mengoptimumkan Strategi Perlindungan Antara Muka Web.

Keselamatan pelayan Linux: Strategi untuk mengoptimumkan strategi perlindungan antara muka Web

Dengan perkembangan pesat Internet, semakin banyak perniagaan beralih ke dalam talian, dan keselamatan antara muka Web telah menjadi bahagian yang sangat diperlukan dalam operasi dan penyelenggaraan pelayan. Perkara penting diabaikan. Pada pelayan Linux, kami boleh menggunakan satu siri strategi untuk melindungi antara muka Web kami dan memastikan keselamatan pelayan. Artikel ini akan membincangkan langkah pengoptimuman untuk strategi perlindungan antara muka Web dan memberikan contoh kod yang sepadan.

1. Tetapan tembok api

Mengkonfigurasi tembok api ialah barisan pertahanan pertama untuk melindungi keselamatan antara muka web anda. Kita boleh menggunakan alatan seperti iptables atau firewalld untuk menetapkan peraturan firewall dan menyekat akses kepada antara muka web. Berikut ialah contoh persediaan tembok api asas:

# 清空现有规则
iptables -F

# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许本地回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立的和相关的连接
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# 开放22端口（SSH）
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 开放80端口（HTTP）
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# 开放443端口（HTTPS）
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 其他的一些规则...

# 允许ping请求
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# 不明来源的数据包丢弃
iptables -A INPUT -m state --state INVALID -j DROP

# 加上这条规则，可以防止Ping攻击
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 4 -j ACCEPT

# 其他的一些规则...

# 最后添加一条默认DROP规则
iptables -A INPUT -j DROP

Dalam contoh di atas, kami mula-mula mengosongkan peraturan sedia ada, dan kemudian menetapkan dasar lalai kepada DROP, menafikan semua sambungan yang tidak dibenarkan secara eksplisit. Seterusnya, kami membenarkan antara muka gelung balik tempatan dan sambungan yang ditubuhkan dan berkaitan. Kemudian, buka SSH (port 22), HTTP (port 80) dan HTTPS (port 443).

Apabila perlu, anda boleh menambah peraturan lain mengikut situasi sebenar, seperti menyekat akses kepada alamat IP tertentu, dsb.

2. HTTPS penghantaran disulitkan

Untuk memastikan keselamatan penghantaran data dalam antara muka web, kita harus menggunakan HTTPS untuk menyulitkan data yang dihantar. Untuk pelayan web berasaskan Apache, kami boleh menggunakan modul mod_ssl untuk mengkonfigurasi HTTPS. Berikut ialah contoh mudah:

# 安装mod_ssl
sudo yum install mod_ssl

# 设置SSL证书
sudo mkdir /etc/httpd/ssl
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/httpd/ssl/server.key -out /etc/httpd/ssl/server.crt

# 编辑Apache配置文件
sudo vi /etc/httpd/conf/httpd.conf

# 在适当的位置添加以下内容
<VirtualHost *:443>
    ServerName example.com
    DocumentRoot /var/www/html
    
    SSLEngine on
    SSLCertificateFile /etc/httpd/ssl/server.crt
    SSLCertificateKeyFile /etc/httpd/ssl/server.key
</VirtualHost>

# 重启Apache
sudo systemctl restart httpd

Dalam contoh di atas, kami mula-mula memasang modul mod_ssl, kemudian menjana sijil SSL yang ditandatangani sendiri, dan mengkonfigurasi laluan sijil ke dalam fail konfigurasi Apache.

3. Dasar Kawalan Akses

Selain tembok api dan penyulitan HTTPS, kami juga boleh melindungi antara muka web melalui dasar kawalan akses. Kami boleh menyekat akses kepada antara muka web menggunakan senarai kawalan akses (ACL) berdasarkan alamat IP. Berikut ialah contoh ACL:

# 编辑Apache配置文件
sudo vi /etc/httpd/conf/httpd.conf

# 在适当的位置添加以下内容
<Location />
    Order deny,allow
    Deny from all
    Allow from 192.168.1.0/24
    Allow from 10.0.0.0/8
</Location>

# 重启Apache
sudo systemctl restart httpd

Dalam contoh di atas, kami menggunakan Perintah, Tolak dan Benarkan arahan untuk menyekat akses kepada antara muka web. Hanya permintaan daripada dua segmen rangkaian 192.168.1.0/24 dan 10.0.0.0/8 akan dibenarkan.

Di atas ialah beberapa strategi dan contoh kod untuk mengoptimumkan strategi perlindungan antara muka web. Sudah tentu, terdapat banyak langkah dan teknik keselamatan lain yang boleh digunakan pada pelayan Linux untuk meningkatkan keselamatan antara muka web. Kita harus memilih dan mengkonfigurasi strategi yang sepadan berdasarkan keadaan sebenar dan keperluan untuk memastikan operasi pelayan yang selamat.

Rujukan:

• Tetapan Tembok Api Linux: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-configuring_packet_filtering
HTTPS Konfigurasi: https:// HTTPSfiguration apache.org/docs/2.4/ssl/ssl_howto.html
• Senarai Kawalan Akses Apache (ACL): https://httpd.apache.org/docs/2.4/mod/mod_access_compat.html

Atas ialah kandungan terperinci Keselamatan Pelayan Linux: Strategi untuk Mengoptimumkan Strategi Perlindungan Antara Muka Web.. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!