Kif Tinstalla Config Server Firewall (CSF) fuq Debian/Ubuntu
ConfigServer u Security Firewall, imqassar bħala CSF, huwa firewall ta' sors miftuħ u avvanzat iddisinjat għal sistemi Linux. Mhux biss jipprovdi l-funzjonalità bażika ta 'firewall iżda joffri wkoll firxa wiesgħa ta' karatteristiċi add-on bħal skoperta ta 'login/intrużjoni, kontrolli ta' sfruttament, ping tal-protezzjoni tal-mewt u ħafna aktar.
[ Tista 'tħobb ukoll: 10 Firewalls Utli ta' Sigurtà Open Source għal Sistemi Linux ]
Barra minn hekk, jipprovdi wkoll integrazzjoni tal-UI għall-websajt uffiċjali ta 'ConfigServer.
F'din il-gwida, aħna se nwassluk fl-installazzjoni u l-konfigurazzjoni tal-ConfigServer Security & Firewall (CSF) fuq Debian u Ubuntu.
Pass 1: Installa CSF Firewall fuq Debian u Ubuntu
L-ewwelnett, għandek bżonn tinstalla xi dipendenzi qabel ma tibda tinstalla l-firewall CSF. Fit-terminal tiegħek, aġġorna l-indiċi tal-pakkett:
$ sudo apt update
Sussegwentement, installa d-dipendenzi kif muri:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
B'dan il-mod, issa tista 'tipproċedi għall-pass li jmiss.
Peress li CSF mhuwiex inkluż fir-repożitorji default Debian u Ubuntu, għandek bżonn tinstallah manwalment. Biex tipproċedi, niżżel il-fajl tarball CSF li fih il-fajls ta 'installazzjoni kollha billi tuża l-kmand wget li ġej.
$ wget http://download.configserver.com/csf.tgz
Dan iniżżel fajl kompressat imsejjaħ csf.tgz.
Sussegwentement, estratt il-fajl kompressat.
$ tar -xvzf csf.tgz
Dan joħloq folder imsejjaħ csf.
$ ls -l
Sussegwentement, innaviga fil-folder csf.
$ cd csf
Imbagħad installa CSF Firewall billi tħaddem l-iskrittura tal-installazzjoni murija.
$ sudo bash install.sh
Jekk kollox mar tajjeb, għandek tikseb l-output kif muri.
F'dan il-punt, CSF huwa installat. Madankollu, trid tivverifika li l-iptables meħtieġa huma mgħobbija. Biex tikseb dan, mexxi l-kmand:
$ sudo perl /usr/local/csf/bin/csftest.pl
Pass 2: Ikkonfigura CSF Firewall fuq Debian u Ubuntu
Hemm bżonn ta 'xi konfigurazzjoni addizzjonali Imbagħad, irridu nimmodifikaw ftit settings biex nippermettu CSF. Allura, ras fuq il-fajl tal-konfigurazzjoni csf.conf.
$ sudo nano /etc/csf/csf.conf
Editja d-direttiva tat-TESTJAR minn 1 għal 0 kif indikat hawn taħt.
TESTING = "0"
Sussegwentement, issettja d-direttiva RESTRICT_SYSLOG għal 3 biex tirrestrinġi l-aċċess rsyslog/syslog biss għall-membri tar-RESTRICT_SYSLOG_GROUP.
RESTRICT_SYSLOG = "3"
Sussegwentement, tista 'tiftaħ portijiet TCP u UDP billi ssib id-direttivi TCP_IN, TCP_OUT, UDP_IN, u UDP_OUT.
B'mod awtomatiku, il-portijiet li ġejjin jinfetħu.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
Ċansijiet huma li m'għandekx bżonn dawk il-portijiet kollha miftuħa, u l-aħjar prattiki tas-server jitolbu li tiftaħ biss il-portijiet li qed tuża. Nirrakkomandaw li tneħħi l-portijiet kollha mhux meħtieġa u tħalli dawk li jintużaw mis-servizzi li jaħdmu fis-sistema tiegħek.
Ladarba tkun lest li tispeċifika l-portijiet li għandek bżonn, reload CSF kif muri.
$ sudo csf -r
Biex telenka r-regoli kollha tat-tabella IP definiti fuq is-server, mexxi l-kmand:
$ sudo csf -l
Tista 'tibda u tippermetti l-firewall CSF mal-istartjar kif ġej:
$ sudo systemctl start csf $ sudo systemctl enable csf
Imbagħad ikkonferma li tabilħaqq il-firewall qed jaħdem:
$ sudo systemctl status csf
Pass 3: Imblukkar u Tippermetti Indirizzi IP f'CSF Firewall
Waħda mill-funzjonalitajiet ewlenin ta 'firewall hija l-abbiltà li tippermetti jew timblokka l-indirizzi IP milli jaċċessaw is-server. B'CSF, tista' titniżżel (jippermetti), lista sewda (tiċħad) jew tinjora l-indirizzi IP billi timmodifika l-fajls ta' konfigurazzjoni li ġejjin:
- csf.allow
- csf.deny
- csf.ignore
Biex timblokka indirizz IP, sempliċement aċċess għall-fajl tal-konfigurazzjoni csf.deny.
$ sudo nano /etc/csf/csf.deny
Imbagħad speċifika l-indirizzi IP li trid timblokka. Tista' tispeċifika l-indirizzi IP linja b'linja kif muri:
192.168.100.50 192.168.100.120
Jew tista' tuża n-notazzjoni CIDR biex timblokka subnet kollu.
192.168.100.0/24
Biex tippermetti indirizz IP permezz ta 'Iptables u teskludih mill-filtri jew blokki kollha, editja l-fajl ta' konfigurazzjoni csf.allow.
$ sudo nano /etc/csf/csf.allow
Tista' telenka indirizz IP għal kull linja, jew tuża l-indirizzar CIDR kif muri qabel meta timblokka l-IPs.
NOTA: Indirizz IP se jkun permess anke meta jkun iddefinit b'mod espliċitu fil-fajl tal-konfigurazzjoni csf.deny. Biex tiżgura li indirizz IP ikun imblukkat jew blacklisted, kun żgur li ma jkunx elenkat fil-fajl csf.allow.
Barra minn hekk, CSF jagħtik il-ħila li teskludi indirizz IP minn IPtables jew filtri. Kwalunkwe indirizz IP fil-fajl csf.ignore se jkun eżentat mill-filtri iptables. Jista 'jiġi mblukkat biss jekk speċifikat fil-fajl csf.deny.
Biex teżenta indirizz IP mill-filtri, aċċess għall-fajl csf.ignore.
$ sudo nano /etc/csf/csf.ignore
Għal darb'oħra, tista' telenka l-IPs linja b'linja jew tuża n-notazzjoni CIDR.
U dan jagħlaq il-gwida tagħna llum. Nittamaw li issa tista 'tinstalla u tikkonfigura l-firewall CSF mingħajr irbit.