Cấu hình Tường lửa Máy chủ / CSF là bộ ứng dụng tường lửa cho máy chủ Linux. CSF cũng là một Phát hiện đăng nhập / xâm nhập cho các ứng dụng như SSH, SMTP, IMAP, Pop3, lệnh “su” và nhiều hơn nữa. CSF có thể phát hiện khi ai đó đang đăng nhập vào máy chủ thông qua SSH và báo động cho bạn khi người dùng này cố gắng sử dụng lệnh “su” trên máy chủ để nhận các đặc quyền cao hơn. Nó cũng kiểm tra lỗi xác thực đăng nhập trên các máy chủ thư (Exim, IMAP, Dovecot, uw-imap, Kerio), máy chủ OpenSSH, máy chủ Ftp (Pure-ftpd, vsftpd, Proftpd), máy chủ cPanel để thay thế phần mềm như fail2ban. CSF là một giải pháp bảo mật tốt để lưu trữ máy chủ và có thể được tích hợp vào giao diện người dùng (UI) của WHM / cPanel, DirectAdmin và Webmin.
Điều kiện tiên quyết
=> CentOS 7 (máy chủ của tôi sử dụng IP 192.168.1.101).
quyền root.
Những gì chúng ta sẽ làm trong hướng dẫn này:
=> Cài đặt các phụ thuộc cho CSF.
=> Cài đặt CSF.
=> Cấu hình CSF.
=> Các lệnh CSF cơ bản.
=> Cấu hình nâng cao.
Bước 1 – Cài đặt các phụ thuộc CFS
CSF dựa trên Perl, vì vậy bạn cần cài đặt Perl trên máy chủ của chúng tôi trước. Bạn cần wget để tải về bộ cài đặt CSF và vim (hoặc một biên tập viên của sự lựa chọn của bạn) để chỉnh sửa các tập tin cấu hình CSF. Cài đặt các gói với lệnh yum:
yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes
Bước 2 – Cài đặt CSF
Vui lòng vào thư mục “/ usr / src /” và tải xuống CSF bằng lệnh wget.
cd /usr/src/ wget https://download.configserver.com/csf.tgz
Giải nén tệp tar.gz và vào thư mục csf, sau đó cài đặt nó:
tar -xzf csf.tgz cd csf sh install.sh
Bạn sẽ nhận được thông tin rằng cài đặt CSF được hoàn thành vào cuối.
Bây giờ bạn nên kiểm tra xem CSG có thực sự hoạt động trên máy chủ này không. Chuyển đến thư mục “/ usr / local / csf / bin /”và chạy “csftest.pl” .
cd /usr/local/csf/bin/ perl csftest.pl
Nếu bạn thấy kết quả kiểm tra như bên dưới, thì CSF đang chạy mà không gặp sự cố nào trên máy chủ của bạn:
RESULT: csf should function on this server
Bước 3 – Định cấu hình CSF trên CentOS 7
Trước khi bước vào quá trình cấu hình CSF, điều đầu tiên bạn phải biết là “CentOS 7” có một ứng dụng tường lửa mặc định gọi là “tường lửa”. Bạn phải dừng tường lửa và loại bỏ nó khỏi khởi động.
Dừng tường lửa:
systemctl stop firewalld
Vô hiệu hóa / Xóa tường lửa khỏi khởi động:
systemctl disable firewalld
Sau đó, chuyển đến thư mục Cấu hình CSF “/ etc / csf /” và chỉnh sửa tệp “csf.conf” bằng trình chỉnh sửa vim:
cd /etc/csf/ vim csf.conf
Thay đổi dòng 11 “KIỂM TRA” thành “0” để áp dụng cấu hình tường lửa.
TESTING = "0"
Theo mặc định, CSF cho phép lưu lượng đến và đi cho cổng 22 tiêu chuẩn SSH, nếu bạn sử dụng một cổng SSH khác thì hãy thêm cổng của bạn vào cấu hình trong dòng 139 “TCP_IN” .
Bây giờ bắt đầu CSF và LFD bằng lệnh systemctl:
systemctl start csf systemctl start lfd
Và sau đó kích hoạt dịch vụ csf và lfd để bắt đầu khi khởi động:
systemctl enable csf systemctl enable lfd
Bây giờ bạn có thể thấy các quy tắc mặc định của CSF bằng lệnh:
csf -l
Bước 4 – Các lệnh CSF cơ bản
1. Khởi động tường lửa (bật quy tắc tường lửa):
csf -s
2. Xóa / Dừng các quy tắc tường lửa.
csf -f
3. Tải lại các quy tắc tường lửa.
csf -r
4. Cho phép IP và thêm nó vào csf.allow.
csf -a 192.168.1.109
Các kết quả:
Adding 192.168.1.109 to csf.allow and iptables ACCEPT... ACCEPT all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0 ACCEPT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
5. Xóa và xóa IP khỏi csf.allow.
csf -ar 192.168.1.109
Các kết quả:
Removing rule... ACCEPT all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0 ACCEPT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
6. Từ chối IP và thêm vào csf.deny:
csf -d 192.168.1.109
Các kết quả:
Adding 192.168.1.109 to csf.deny and iptables DROP... DROP all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
7. Xóa và xóa một IP khỏi csf.deny.
csf -dr 192.168.1.109
Các kết quả:
Removing rule... DROP all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
8. Xóa và bỏ chặn tất cả các mục từ csf.deny.
csf -df
Các kết quả:
DROP all opt -- in !lo out * 192.168.1.110 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.110 DROP all opt -- in !lo out * 192.168.1.111 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.111 csf: all entries removed from csf.deny
9. Tìm kiếm một mẫu khớp trên iptables, ví dụ: IP, CIDR, Số cổng
csf -g 192.168.1.110
Bước 5 – Cấu hình nâng cao
Dưới đây là một số điều chỉnh về CSF, vì vậy bạn có thể định cấu hình khi bạn cần.
Quay lại thư mục cấu hình csf và chỉnh sửa tệp cấu hình csf.conf:
cd /etc/csf/ vim csf.conf
1. Không chặn các địa chỉ IP có trong tệp csf.allow.
Theo mặc định, lfd cũng sẽ chặn IP trong các tệp csf.allow, vì vậy nếu bạn muốn IP đó trong các tệp csf.allow không bao giờ bị chặn bởi lfd, thì vui lòng chuyển đến dòng 272 và thay đổi “IGNORE_ALLOW” thành “1” . Điều này hữu ích khi bạn có IP tĩnh tại nhà hoặc tại văn phòng và muốn đảm bảo rằng IP của bạn không bao giờ bị chặn bởi tường lửa trên máy chủ internet của bạn.
IGNORE_ALLOW = "1"
2. Cho phép ICMP đến và đi.
Chuyển đến dòng 152 để biết ping / ICMP đến:
ICMP_IN = "1"
Và dòng 159 cho ping ping / ICMP gửi đi:
ICMP_OUT = "1"
3. Chặn một số quốc gia
CSF cung cấp tùy chọn cho phép và từ chối truy cập theo quốc gia bằng CIDR (Mã quốc gia). Chuyển đến dòng 836 và thêm mã quốc gia sẽ được phép và từ chối:
CC_DENY = "CN,UK,US" CC_ALLOW = "ID,MY,DE"
4. Gửi nhật ký Su và SSH Đăng nhập bằng Email.
Bạn có thể đặt địa chỉ email được sử dụng bởi LFD để gửi email về các sự kiện “Đăng nhập SSH” và người dùng chạy lệnh “su” , chuyển đến dòng 1069 và thay đổi giá trị thành “1”.
LF_SSH_EMAIL_ALERT = "1" ... LF_SU_EMAIL_ALERT = "1"
Và sau đó xác định địa chỉ email bạn muốn sử dụng trong dòng 588 .
LF_ALERT_TO = "mymail@mydomain.tld"
Nếu bạn muốn chỉnh sửa nhiều hơn, hãy đọc các tùy chọn trong tệp cấu hình “/etc/csf/csf.conf” .
Phần kết luận
CSF là một tường lửa dựa trên ứng dụng cho iptables được cung cấp cho các máy chủ Linux. CSF có nhiều tính năng và có thể hỗ trợ các công cụ quản lý dựa trên web như cPanel / WHM, DirectAdmin và Webmin. CSF rất dễ cài đặt và sử dụng trên máy chủ, nó giúp quản lý bảo mật dễ dàng hơn đối với các sysadmin.
