ConfigServer Security & Firewall (CSF) este un instrument de securitate VPS popular pentru Linux. Oferă o interfață simplă pentru iptables pentru a proteja serverele Linux. CSF vine cu mai multe caracteristici: un firewall de inspecție a pachetelor cu stare (SPI), detectarea intruziunilor, un daemon de eșec de conectare, protecție DDOS și integrarea panoului de control. Acest tutorial acoperă instalarea, configurația de bază și comenzile esențiale pentru CSF pe CentOS 7.
1. Pregătiți-vă pentru instalarea CSF
Ubuntu 20.04 vine cu firewall UFW în mod implicit, care trebuie eliminat înainte de a instala CSF.
1 2 3 4 5 6 7 8 9 10 | # systemctl disable firewalld # systemctl stop firewalld # yum -y install iptables-services # touch /etc/sysconfig/iptables # touch /etc/sysconfig/iptables6 # systemctl start iptables # systemctl start ip6tables # systemctl enable iptables # systemctl enable ip6tables # yum -y install wget perl unzip net-tools perl-libwww-perl perl-LWP-Protocol-https perl-GDGraph -y |
2. Install CSF
1 2 3 4 5 6 | # cd /opt # wget https://download.configserver.com/csf.tgz # tar -xzf csf.tgz # cd csf # sh install.sh # perl /usr/local/csf/bin/csftest.pl |
Verificare CSF status dupa instalare.
1 | # csf -v |
csf: v14.02 (generic)
*WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
3. Configurare CSF
3.1 CSF rulează implicit în modul TESTARE. Editați /etc/csf/csf.conf pentru a dezactiva modul TESTARE.
1 | # nano /etc/csf/csf.conf |
3.2 Localizați linia TESTING = „1” și schimbați valoarea la „0”.
1 | TESTING = "0" |
3.3 Localizați linia RESTRICT_SYSLOG = "0" și modificați valoarea la "3". Aceasta înseamnă că numai membrii RESTRICT_SYSLOG_GROUP pot accesa fișierele syslog/rsyslog.
1 | RESTRICT_SYSLOG = "3" |
3.4 Salvați fișierul de configurare.
3.5 Opriți și reîncărcați CSF cu opțiunea -ra.
1 | # csf -ra |
Comenzi și configurații comune CSF
1 2 3 | Start CSF # csf -s Stop CSF # csf -f Restart CSF # csf -ra |
Permite traficul IP după port
1. Edit /etc/csf/csf.conf
1 | # nano /etc/csf/csf.conf |
2. Localizați următoarele linii și adăugați porturile necesare.
1 2 3 4 5 | # Allow incoming TCP ports TCP_IN = 20,21,22,25,26,53,80,110,143,443,465,587,993,995,2077” # Allow outgoing TCP ports TCP_OUT = 20,21,22,25,26,37,43,53,80,110,113,443,465,873,2087” |
3. Reporniți CSF pentru ca modificările să intre în vigoare.
1 | # csf -ra |
Accepta sau Blocheaza prin adresa IP
Utilizați opțiunea -d pentru a refuza prin IP, de exemplu, 192.0.2.123.
1 | # csf -d 192.0.2.123 |
Utilizați opțiunea -a pentru a permite prin IP, de exemplu, 192.0.2.123.
1 | # csf -a 192.0.2.123 |
Utilizați opțiunea -ar pentru a eliminați IP-ul din lista de Acceptate.
1 | # csf -ar 192.0.2.123 |
Utilizați opțiunea -dr pentru a eliminați IP-ul din lista de Blocate.
1 | # csf -dr 192.0.2.123 |
Fisier lista IP Blocate
Blocați IP-urile adăugând o intrare în /etc/csf/csf.deny.
1 2 | 192.0.2.123 # deny this IP 192.0.2.0/24 # deny this network |
Fisier lista IP Acceptate
Adăugați IP-uri de încredere în /etc/csf/csf.allow.
1 | 192.0.2.123 # trust this IP |
Verificați toate porturile de ascultare cu opțiunea -p.
1 | # csf -p |