ねえ、いくつかの時間前に、私の友人のビジネスサーバーが再びダウンしていた、火を消すために真夜中に私を呼んだ。ログオンして見てみると、良い男は、TCP接続が数万に高騰し、SSHはほとんど詰まっている、ビジネスはフィルムを破るために長い時間です。彼のマシンは、どのような “高防衛 ”と言った、結果はちょうどファイアウォールの背景にあるいくつかのボタンをクリックして、塔の事をインストールしました。最近では、本当に防衛とマシンを購入すると、のんきなことができると思いますか?あまりにも世間知らず。
高防御サーバー “高防衛 ”は、より多くの場合、ネットワークの入り口でサービスプロバイダがあなたにトラフィックを運ぶために、独自のシステムは、ふるいと同じ場合は、摩耗にヒットの内部アプリケーションは、その後、お金も無駄に費やすことができます。
私は長年にわたり、1000台とは言わないまでも、何百台ものサーバーのメンテナンスとハードニングを担当してきた。
多くの管理者、特にビジネス経験者は、パネルと視覚的な操作に依存し、「ワンクリック保護」をクリックすればすべてがうまくいくと考えています。本当にCCアタックやスローアタックの技術的な内容に遭遇したら、すぐに元のフォームを表示すること。
攻撃者はもはやSYN Floodスクリプト・キディだけでなく、システム・レベルやアプリケーション・レベルのデフォルト設定の弱さに注目しています。あなたのCentOS 7は、もしあなたがハードニングを行わなければ、公衆ネットワーク上で裸で動いているのとほとんど同じであり、攻撃者の「気分」次第でビジネスの生死が決まる。
つまり、今日お話しするこのビルドのアイデアの核心は、ある一文にある:高い防御力を誇るサーバーの「防御」属性を、サーバールームの境界からシステムの骨髄にまで拡張する。.サーバールームの高防御クリーニングで深い防御を形成し、サーバー自体を割れにくいものにする。
次の組み合わせのセットは、私が行うによると、実際の戦いでまとめた、100%無敵と言う勇気はありませんが、90%一般的な攻撃を運ぶために助けることができる、数桁を高めるために安定性は、 “老犬のように安定した ”と言っても過言ではありません。
ステップ1:システムの設置と最小化の原則
たくさんのサービスを統合した「ブティックミラー」や「パゴダミラー」は使わないこと。最もクリーンなCentOS 7 Minimal ISOから始める。インストールプロセスでは、業務に必要な「開発ツール」パッケージ群以外は追加パッケージを選択しない。最初にすることは、システムをアップデートし、動いていないサービスをすべてシャットダウンすることだ。どのサービスが起動可能かを確認するために、私はこのコマンドを最初に使っていた:
類似ポストフィックス, アヴァヒデーモン, カップそれが何をするものなのかがはっきりわかっていて、ビジネスに必要なものでない限り、それは良い考えとは言えない。systemctl disable && systemctl stop.サービスの数が少なければ少ないほど、攻撃対象が少なくなるのは鉄則だ。
ステップ2:カーネル・パラメーター・チューニング、体積抵抗の要
システムのデフォルト・カーネル・パラメーターは互換性のためのもので、高性能や耐性のためのものではない。手動で調整する必要がある。直接/etc/sysctl.conf次の大きな段落を追加してください。これらのパラメーターは、オンラインの高同時性ビジネスに応じて私が調整したもので、主にTCPコネクション処理を最適化し、SYNフラッドや多すぎるTIME_WAITを防御するためのものです。
保存後sysctl -pが有効になります。これらの数値を過小評価してはいけない。これらの数値は、あなたのサーバーが大量の接続リクエストに直面したときに、優雅にキューに入れて処理するか、あるいは単にクラッシュさせるかを直接決定する。
ステップ3:ファイアウォールは単なる「オン/オフスイッチ」ではなく、最初のゲートウェイである
CentOS 7にはfirewalldが付属しており、これはかなりよく動くが、極端なパフォーマンスと昔ながらのコントロールの感覚を求める人には、私はiptablesをそのまま使うことを好む。として保存してください。/etc/iptables.shそして、パワーオンの実行を設定する。
このルールセットの意味は明確だ。私が明示的に解放したサービス・ポートのみを許可し、それ以外はすべて拒否する。これは、最も単純で最も効果的なセキュリティ原則である。スクリプトを実行したら、次のことを覚えておいてほしい。yum install iptables-servicesそしてsystemctl iptablesを有効にする保存して起動にセットする。
ステップ4:アプリケーション層の保護。
システムレイヤーがハード化されると、攻撃者はウェブやアプリに攻撃を集中させます。最もよく使われているNginxを例にとると、デフォルトのコンフィギュレーションは「welcome to hit」コンフィギュレーションだ。
1. バージョン番号を隠すnginx.confのhttpセクションに以下を追加する。server_tokens off.;相手に武器の種類を知られてはいけない。
2. リクエストの頻度を制限するこれはCCを防ぐための素晴らしいツールです。httpセグメントで制限領域を定義する:
その後、特定のサーバーや場所で使用する:
この値は、あなたのビジネスに応じて調整され、動的なページは小さくすることができ、静的な大きくすることができます。
3. 同時接続数の制限同様に、コネクションゾーンを定義し、それを適用することで、1つのIPが大量のコネクションを開いてリソースを消耗させる攻撃を効果的に阻止することができる。
4. クライアントのタイムアウトの最適化遅い攻撃や資源を保持する攻撃は、できるだけ早くリリースできるようにタイミングを適切に調整する。
より複雑なビジネスロジックの攻撃(おかしなCAPTCHAスワイプや悪意のあるクローラーなど)に対しては、これらの基本ルールでは不十分かもしれない。そのような場合は、より専門的なWAFを導入する必要がある。オープンソースのModSecurityを使うこともできるが、ルールのメンテナンスには手間がかかる。私がテストしたところ、重要なプロダクション・ビジネスでは、信頼できるクラウドWAFサービスと組み合わせた方がうまくいくことがわかった。
例えば、ドメイン名を次のようにDNSすることができます。CDN07このようなサービス・プロバイダーは、提供するグローバル・アクセラレーションに加え、内蔵のインテリジェントWAFルール・ベースが非常にタイムリーに更新され、SQLインジェクション、XSS、0day脆弱性攻撃、その他のアプリケーション層への攻撃を大量にブロックすることができ、設定もシンプルであるため、自分でルールを書いたりメンテナンスしたりする時間を大幅に節約することができる。これはプロのドアマンを雇うのと同じことで、自分の家の鍵(システム補強)はより安全でなければならず、二重の保険となる。
ステップ5:監視と警告、システムに目を向ける
ハードに設定されたマシンは、モニタリングなしでは盲目となる。ユーザーから電話がかかってきて、サイトが開けないと言われるのを待っていてはいけません。一番簡単なのはネットスタットコマンドを使ってTCPステータスを監視するスクリプトを書く:
フォーカスタイム・ウェイ, CLOSE_WAIT, SYN_RECV番号の。もしSYN_RECVが異常に高い場合、SYN Floodの可能性がある。設立少数のIPからの接続が異常に多い場合は、おそらくCC攻撃であろう。
より専門的には、Prometheus + Grafanaを導入し、システム負荷、接続、トラフィック、アプリケーションQPSを監視する。閾値アラートを設定し、異常が発生した場合は、SMS、電子メール、ピン留めが即座に行われる。これが問題をプロアクティブに特定できる唯一の方法です。
このように、セキュリティの高いCentOS 7は、まさに「防御」の魂を持っている。もはや受動的な標的ではなく、能動的な防御と警告機能を備えた要塞なのだ。
セキュリティに万能はなく、この一連の設定は強力なベースラインであることを忘れないでください。ビジネスにおける実際のトラフィック・パターンに基づいて、これらのパラメータ(接続制限やリクエスト・レートなど)を継続的に観察して微調整し、定期的にログをレビューして異常を分析する必要があります。
結局のところ、防御の本質は攻撃者のコストと難易度を上げることだ。システム・レベルでやるべきことをやり遂げれば、ほとんどの自動攻撃ツールやせっかちな攻撃者は手を引き、より簡単なターゲットに移るだろう。そして、あなたのビジネスは、荒れ狂うネットワーク環境における老犬のように安定したものとなる。怠けることなく、今すぐ実行して、サーバーにこの鎧を着せましょう。