Installa u Ikkonfigura ConfigServer Security & Firewall (CSF) fil-Linux
Jekk tħares lejn impjiegi relatati mal-IT kullimkien, tinnota domanda kostanti għal vantaġġi tas-sigurtà. Dan ma jfissirx biss li ċ-ċibersigurtà hija qasam ta’ studju interessanti, iżda wkoll wieħed li jrendi ħafna.
B'dan f'moħħna, f'dan l-artikolu se nispjegaw kif tinstalla u tikkonfigura ConfigServer Security & Firewall (magħrufa wkoll bħala CSF fil-qosor), suite ta 'sigurtà sħiħa għal Linux, u naqsmu ftit każijiet ta' użu tipiċi. Imbagħad tkun tista 'tuża CSF bħala firewall u sistema ta' skoperta ta 'fallimenti ta' intrużjoni/login biex tibbies is-servers li int responsabbli għalihom.
Mingħajr aktar adieu, ejja nibdew.
Installazzjoni u Konfigurazzjoni CSF fil-Linux
Biex tibda, jekk jogħġbok innota li Perl u libwww huma prerekwiżit biex tinstalla CSF fuq kwalunkwe waħda mid-distribuzzjonijiet appoġġjati (RHEL u CentOS, openSUSE, Debian u Ubuntu). Peress li għandu jkun disponibbli awtomatikament, m'hemm l-ebda azzjoni meħtieġa min-naħa tiegħek sakemm wieħed mill-passi li ġejjin ma jirritornax żball fatali (f'dak il-każ, uża s-sistema ta 'ġestjoni tal-pakketti biex tinstalla d-dipendenzi neqsin).
# yum install perl-libwww-perl # apt install libwww-perl
# cd /usr/src # wget https://download.configserver.com/csf.tgz
# tar xzf csf.tgz # cd csf
Din il-parti tal-proċess se tivverifika li d-dipendenzi kollha huma installati, toħloq l-istrutturi tad-direttorju u l-fajls meħtieġa għall-interface tal-web, tiskopri portijiet miftuħa bħalissa, u tfakkarkom biex terġa 'tibda d-daemons csf u lfd wara li tkun lest il-konfigurazzjoni inizjali.
# sh install.sh # perl /usr/local/csf/bin/csftest.pl
L-output mistenni tal-kmand ta 'hawn fuq huwa kif ġej:
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Itfi firewalld jekk taħdem u kkonfigurat CSF.
# systemctl stop firewalld # systemctl disable firewalld
Ibdel TESTING = \1\ għal TESTING = \0\ (inkella, id-daemon lfd jonqos milli jibda) u elenka l-portijiet permessi li jidħlu u ħerġin bħala Lista separata minn virgola (TCP_IN u TCP_OUT, rispettivament) f'/etc/csf/csf.conf kif muri fl-output hawn taħt:
# Testing flag - enables a CRON job that clears iptables incase of # configuration problems when you start csf. This should be enabled until you # are sure that the firewall works - i.e. incase you get locked out of your # server! Then do remember to set it to 0 and restart csf when you're sure # everything is OK. Stopping csf will remove the line from /etc/crontab # # lfd will not start while this is enabled TESTING = "0" # Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
Ladarba tkun kuntent bil-konfigurazzjoni, issalva l-bidliet u rritorna għal-linja tal-kmand.
# systemctl restart {csf,lfd}
# systemctl enable {csf,lfd}
# systemctl is-active {csf,lfd}
# csf -v
F'dan il-punt aħna lesti li nibdew inwaqqfu regoli ta' skoperta ta' firewall u intrużjoni kif diskuss li jmiss.
Twaqqif ta 'CSF u Regoli ta' Sejbien ta 'Intrużjoni
L-ewwelnett, trid tispezzjona r-regoli attwali tal-firewall kif ġej:
# csf -l
Tista' wkoll twaqqafhom jew terġa' tgħabbihom bi:
# csf -f # csf -r
rispettivament. Kun żgur li timmemorizza dawn l-għażliet - ser ikollok bżonnhom hekk kif tmur, partikolarment biex tiċċekkja wara li tagħmel bidliet u terġa 'tibda csf u lfd.
Biex tippermetti konnessjonijiet deħlin minn 192.168.0.10.
# csf -a 192.168.0.10
Bl-istess mod, tista 'tiċħad konnessjonijiet li joriġinaw minn 192.168.0.11.
# csf -d 192.168.0.11
Tista' tneħħi kull waħda mir-regoli ta' hawn fuq jekk tixtieq tagħmel dan.
# csf -ar 192.168.0.10 # csf -dr 192.168.0.11
Innota kif l-użu ta' -ar jew -dr hawn fuq ineħħi regoli eżistenti ta' permess u ċaħda assoċjati ma' indirizz IP partikolari.
Skont l-użu maħsub tas-server tiegħek, tista' tkun trid tillimita l-konnessjonijiet deħlin għal numru sigur fuq bażi ta' port. Biex tagħmel dan, iftaħ /etc/csf/csf.conf u fittex CONNLIMIT. Tista 'tispeċifika port multipli; pari ta' konnessjonijiet separati b'virgoli. Pereżempju,
CONNLIMIT = "22;2,80;10"
se tippermetti biss 2 u 10 konnessjonijiet deħlin mill-istess sors għall-portijiet TCP 22 u 80, rispettivament.
Hemm diversi tipi ta 'twissija li tista' tagħżel. Fittex is-settings ta' EMAIL_ALERT f'/etc/csf/csf.conf u kun żgur li huma ssettjati għal \1\ biex tirċievi t-twissija assoċjata. Pereżempju,
LF_SSH_EMAIL_ALERT = "1" LF_SU_EMAIL_ALERT = "1"
se jikkawża twissija li tintbagħat fl-indirizz speċifikat f'LF_ALERT_TO kull darba li xi ħadd jidħol b'suċċess permezz ta 'SSH jew jaqleb għal kont ieħor billi juża su kmand.
Għażliet ta' Konfigurazzjoni CSF u Użu
Dawn l-għażliet li ġejjin jintużaw biex jimmodifikaw u jikkontrollaw il-konfigurazzjoni tas-csf. Il-fajls tal-konfigurazzjoni kollha tas-csf jinsabu taħt id-direttorju /etc/csf. Jekk timmodifika xi wieħed mill-fajls li ġejjin ser ikollok bżonn terġa 'tibda d-daemon csf biex tieħu bidliet.
- csf.conf : Il-fajl ewlieni tal-konfigurazzjoni għall-kontroll tas-CSF.
- csf.allow : Il-lista ta' indirizzi IP u CIDR permessi fuq il-firewall.
- csf.deny : Il-lista ta' indirizzi IP u CIDR miċħuda fuq il-firewall.
- csf.ignore : Il-lista ta' indirizzi IP u CIDR injorati fuq il-firewall.
- csf.*ignore : Il-lista ta’ diversi fajls li jinjoraw ta’ utenti, IP’s.
Neħħi CSF Firewall
Jekk tixtieq tneħħi kompletament il-firewall CSF, mexxi l-iskrittura li ġejja li tinsab taħt id-direttorju /etc/csf/uninstall.sh.
# /etc/csf/uninstall.sh
Il-kmand ta 'hawn fuq se jħassar CSF firewall kompletament bil-fajls u folders kollha.
F'dan l-artikolu spjegajna kif tinstalla, tikkonfigura u tuża CSF bħala firewall u sistema ta 'detezzjoni ta' intrużjoni. Jekk jogħġbok innota li aktar karatteristiċi huma deskritti fil-csf.conf.
Per eżempju, Jekk inti fin-negozju tal-web hosting, tista 'tintegra CSF ma' soluzzjonijiet ta 'ġestjoni bħal Webmin.
Għandek xi mistoqsijiet jew kummenti dwar dan l-artikolu? Ħossok liberu li tibgħatilna messaġġ billi tuża l-formola hawn taħt. Aħna ħerqana li nisimgħu mingħandek!