Kif Tinstalla Config Server Firewall (CSF) fuq Debian/Ubuntu


ConfigServer u Security Firewall, imqassar bħala CSF, huwa firewall ta' sors miftuħ u avvanzat iddisinjat għal sistemi Linux. Mhux biss jipprovdi l-funzjonalità bażika ta 'firewall iżda joffri wkoll firxa wiesgħa ta' karatteristiċi add-on bħal skoperta ta 'login/intrużjoni, kontrolli ta' sfruttament, ping tal-protezzjoni tal-mewt u ħafna aktar.

[ Tista 'tħobb ukoll: 10 Firewalls Utli ta' Sigurtà Open Source għal Sistemi Linux ]

Barra minn hekk, jipprovdi wkoll integrazzjoni tal-UI għall-websajt uffiċjali ta 'ConfigServer.

F'din il-gwida, aħna se nwassluk fl-installazzjoni u l-konfigurazzjoni tal-ConfigServer Security & Firewall (CSF) fuq Debian u Ubuntu.

Pass 1: Installa CSF Firewall fuq Debian u Ubuntu

L-ewwelnett, għandek bżonn tinstalla xi dipendenzi qabel ma tibda tinstalla l-firewall CSF. Fit-terminal tiegħek, aġġorna l-indiċi tal-pakkett:

$ sudo apt update

Sussegwentement, installa d-dipendenzi kif muri:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

B'dan il-mod, issa tista 'tipproċedi għall-pass li jmiss.

Peress li CSF mhuwiex inkluż fir-repożitorji default Debian u Ubuntu, għandek bżonn tinstallah manwalment. Biex tipproċedi, niżżel il-fajl tarball CSF li fih il-fajls ta 'installazzjoni kollha billi tuża l-kmand wget li ġej.

$ wget http://download.configserver.com/csf.tgz

Dan iniżżel fajl kompressat imsejjaħ csf.tgz.

Sussegwentement, estratt il-fajl kompressat.

$ tar -xvzf csf.tgz

Dan joħloq folder imsejjaħ csf.

$ ls -l

Sussegwentement, innaviga fil-folder csf.

$ cd csf

Imbagħad installa CSF Firewall billi tħaddem l-iskrittura tal-installazzjoni murija.

$ sudo bash install.sh

Jekk kollox mar tajjeb, għandek tikseb l-output kif muri.

F'dan il-punt, CSF huwa installat. Madankollu, trid tivverifika li l-iptables meħtieġa huma mgħobbija. Biex tikseb dan, mexxi l-kmand:

$ sudo perl /usr/local/csf/bin/csftest.pl

Pass 2: Ikkonfigura CSF Firewall fuq Debian u Ubuntu

Hemm bżonn ta 'xi konfigurazzjoni addizzjonali Imbagħad, irridu nimmodifikaw ftit settings biex nippermettu CSF. Allura, ras fuq il-fajl tal-konfigurazzjoni csf.conf.

$ sudo nano /etc/csf/csf.conf

Editja d-direttiva tat-TESTJAR minn 1 għal 0 kif indikat hawn taħt.

TESTING = "0"

Sussegwentement, issettja d-direttiva RESTRICT_SYSLOG għal 3 biex tirrestrinġi l-aċċess rsyslog/syslog biss għall-membri tar-RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Sussegwentement, tista 'tiftaħ portijiet TCP u UDP billi ssib id-direttivi TCP_IN, TCP_OUT, UDP_IN, u UDP_OUT.

B'mod awtomatiku, il-portijiet li ġejjin jinfetħu.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Ċansijiet huma li m'għandekx bżonn dawk il-portijiet kollha miftuħa, u l-aħjar prattiki tas-server jitolbu li tiftaħ biss il-portijiet li qed tuża. Nirrakkomandaw li tneħħi l-portijiet kollha mhux meħtieġa u tħalli dawk li jintużaw mis-servizzi li jaħdmu fis-sistema tiegħek.

Ladarba tkun lest li tispeċifika l-portijiet li għandek bżonn, reload CSF kif muri.

$ sudo csf -r

Biex telenka r-regoli kollha tat-tabella IP definiti fuq is-server, mexxi l-kmand:

$ sudo csf -l

Tista 'tibda u tippermetti l-firewall CSF mal-istartjar kif ġej:

$ sudo systemctl start csf
$ sudo systemctl enable csf

Imbagħad ikkonferma li tabilħaqq il-firewall qed jaħdem:

$ sudo systemctl status csf

Pass 3: Imblukkar u Tippermetti Indirizzi IP f'CSF Firewall

Waħda mill-funzjonalitajiet ewlenin ta 'firewall hija l-abbiltà li tippermetti jew timblokka l-indirizzi IP milli jaċċessaw is-server. B'CSF, tista' titniżżel (jippermetti), lista sewda (tiċħad) jew tinjora l-indirizzi IP billi timmodifika l-fajls ta' konfigurazzjoni li ġejjin:

  • csf.allow
  • csf.deny
  • csf.ignore

Biex timblokka indirizz IP, sempliċement aċċess għall-fajl tal-konfigurazzjoni csf.deny.

$ sudo nano /etc/csf/csf.deny

Imbagħad speċifika l-indirizzi IP li trid timblokka. Tista' tispeċifika l-indirizzi IP linja b'linja kif muri:

192.168.100.50
192.168.100.120

Jew tista' tuża n-notazzjoni CIDR biex timblokka subnet kollu.

192.168.100.0/24

Biex tippermetti indirizz IP permezz ta 'Iptables u teskludih mill-filtri jew blokki kollha, editja l-fajl ta' konfigurazzjoni csf.allow.

$ sudo nano /etc/csf/csf.allow

Tista' telenka indirizz IP għal kull linja, jew tuża l-indirizzar CIDR kif muri qabel meta timblokka l-IPs.

NOTA: Indirizz IP se jkun permess anke meta jkun iddefinit b'mod espliċitu fil-fajl tal-konfigurazzjoni csf.deny. Biex tiżgura li indirizz IP ikun imblukkat jew blacklisted, kun żgur li ma jkunx elenkat fil-fajl csf.allow.

Barra minn hekk, CSF jagħtik il-ħila li teskludi indirizz IP minn IPtables jew filtri. Kwalunkwe indirizz IP fil-fajl csf.ignore se jkun eżentat mill-filtri iptables. Jista 'jiġi mblukkat biss jekk speċifikat fil-fajl csf.deny.

Biex teżenta indirizz IP mill-filtri, aċċess għall-fajl csf.ignore.

$ sudo nano /etc/csf/csf.ignore

Għal darb'oħra, tista' telenka l-IPs linja b'linja jew tuża n-notazzjoni CIDR.

U dan jagħlaq il-gwida tagħna llum. Nittamaw li issa tista 'tinstalla u tikkonfigura l-firewall CSF mingħajr irbit.