如何设置CentOS系统以阻止外部攻击者的端口扫描

摘要：
随着互联网的不断发展，网络安全问题越来越突出。外部攻击者经常通过端口扫描来寻找系统中的安全漏洞。为了保护我们的系统，我们需要采取措施来阻止这些扫描。本文将介绍如何设置CentOS系统以阻止外部攻击者的端口扫描，并提供了相关的代码示例。

一、安装并配置防火墙
CentOS系统自带了firewalld防火墙，我们可以通过配置防火墙来限制对系统的端口扫描。

1.安装firewalld：
sudo yum install firewalld

2.启动firewalld服务：
sudo systemctl start firewalld

3.设置firewalld开机自启动：
sudo systemctl enable firewalld

4.查看firewalld状态：
sudo firewall-cmd –state

二、添加端口规则
我们可以使用firewalld命令来添加端口规则，以阻止外部攻击者的端口扫描。

1.查看系统开放的端口：
sudo firewall-cmd –list-ports

2.添加允许访问的端口：
sudo firewall-cmd –add-port=80/tcp –permanent
sudo firewall-cmd –add-port=443/tcp –permanent

3.移除默认开放的端口：
sudo firewall-cmd –remove-service=http –permanent
sudo firewall-cmd –remove-service=https –permanent

4.重新加载firewalld配置：
sudo firewall-cmd –reload

三、禁用ICMP回应
除了限制端口访问，我们还可以禁用ICMP回应，这样可以有效阻止外部攻击者进行常规的ping扫描。

1.禁用ICMP回应：
sudo firewall-cmd –permanent –add-rich-rule=’rule protocol value=”icmp” drop’

2.重新加载firewalld配置：
sudo firewall-cmd –reload

四、开启SYN Cookie保护
SYN Cookie是一种防范DoS和DDoS攻击的机制，通过开启SYN Cookie保护，我们可以有效防止外部攻击者对系统进行端口扫描。

1.开启SYN Cookie保护：
sudo echo “net.ipv4.tcp_syncookies = 1” >> /etc/sysctl.conf
sudo sysctl -p

2.重新加载sysctl配置：
sudo sysctl –system

五、限制SSH访问
SSH是外部攻击者常用的入侵手段之一，我们可以通过限制SSH访问来减少系统受到攻击的风险。

1.编辑SSH配置文件：
sudo vi /etc/ssh/sshd_config

2.将以下行注释取消并修改为指定的端口和IP：

Port 22

PermitRootLogin yes

PasswordAuthentication yes

AllowUsers user_name@ip_address

3.保存文件并重新启动SSH服务：
sudo service sshd restart

六、监控系统日志
最后，我们应该定期监控系统的日志，以便及时发现并应对可能的攻击。

1.查看系统日志：
sudo tail -f /var/log/messages

代码示例：

1.添加允许80和443端口访问的规则：
sudo firewall-cmd –add-port=80/tcp –permanent
sudo firewall-cmd –add-port=443/tcp –permanent

2.禁用ICMP回应的示例：
sudo firewall-cmd –permanent –add-rich-rule=’rule protocol value=”icmp” drop’

3.开启SYN Cookie保护的示例：
sudo echo “net.ipv4.tcp_syncookies = 1” >> /etc/sysctl.conf
sudo sysctl -p

总结：
通过安装并配置防火墙、添加端口规则、禁用ICMP回应、开启SYN Cookie保护和限制SSH访问等措施，我们可以有效地阻止外部攻击者的端口扫描，提高系统的安全性。同时，我们也应该定期监控系统日志，及时发现并应对潜在的攻击。只有综合运用各种安全措施，我们才能更好地保护我们的系统免受外部攻击的威胁。

原文来自：www.php.cn