Nainstalujte a nakonfigurujte ConfigServer Security & Firewall (CSF) v Linuxu
Pokud se kdekoli podíváte na pracovní nabídky související s IT, všimnete si stálé poptávky po bezpečnostních profesionálech. To neznamená, že kybernetická bezpečnost je nejen zajímavým studijním oborem, ale také velmi lukrativním.
S ohledem na to v tomto článku vysvětlíme, jak nainstalovat a nakonfigurovat ConfigServer Security & Firewall (také známý jako zkráceně CSF), plnohodnotnou sadu zabezpečení pro Linux a sdílejte několik typických případů použití. Poté budete moci použít CSF jako bránu firewall a systém detekce narušení/selhání přihlášení k posílení serverů, za které zodpovídáte.
Bez dalšího loučení, začněme.
Instalace a konfigurace CSF v Linuxu
Pro začátek si prosím uvědomte, že Perl a libwww jsou předpokladem pro instalaci CSF na kteroukoli z podporovaných distribucí (RHEL a CentOS, openSUSE, Debian a Ubuntu). Protože by měl být k dispozici ve výchozím nastavení, není z vaší strany vyžadována žádná akce, pokud jeden z následujících kroků nevrátí závažnou chybu (v takovém případě použijte k instalaci chybějících závislostí systém správy balíčků).
yum install perl-libwww-perl
apt install libwww-perl
Krok 1 – Stáhněte si CSF
cd /usr/src
wget https://download.configserver.com/csf.tgz
Krok 2 – Extrahujte CSF tarball
tar xzf csf.tgz
cd csf
Krok 3 – Spusťte instalační skript CSF
Tato část procesu zkontroluje, zda jsou nainstalovány všechny závislosti, vytvoří potřebné adresářové struktury a soubory pro webové rozhraní, zjistí aktuálně otevřené porty a připomene vám restartování csf a lfd< démoni poté, co dokončíte počáteční konfiguraci.
sh install.sh
perl /usr/local/csf/bin/csftest.pl
Očekávaný výstup výše uvedeného příkazu je následující:
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
Krok 4: Vypněte bránu firewall a nakonfigurujte CSF
Deaktivujte firewalld, pokud je spuštěn, a nakonfigurujte CSF.
systemctl stop firewalld
systemctl disable firewalld
Změňte TESTING="1"
na TESTING="0"
(jinak se démon lfd nespustí) a uveďte povolené příchozí a odchozí porty jako seznam oddělený čárkami (TCP_IN a TCP_OUT) v /etc/csf/csf.conf, jak je znázorněno na výstupu níže :
Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab
#
lfd will not start while this is enabled
TESTING = "0"
Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
Jakmile jste s konfigurací spokojeni, uložte změny a vraťte se do příkazového řádku.
Krok 5 – Restartujte a otestujte CSF
systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v
V tuto chvíli jsme připraveni začít s nastavením firewallu a pravidel detekce narušení, jak bude popsáno dále.
Nastavení CSF a pravidel detekce narušení
Nejprve budete chtít zkontrolovat aktuální pravidla brány firewall takto:
csf -l
Můžete je také zastavit nebo znovu načíst pomocí:
csf -f
csf -r
respektive. Nezapomeňte si tyto možnosti zapamatovat – budete je potřebovat za pochodu, zejména ke kontrole po provedení změn a restartování csf a lfd.
Příklad 1 – Povolení a zakázání IP adres
Chcete-li povolit příchozí připojení z 192.168.0.10.
csf -a 192.168.0.10
Podobně můžete odmítnout připojení pocházející z 192.168.0.11.
csf -d 192.168.0.11
Pokud si to přejete, můžete každé z výše uvedených pravidel odstranit.
csf -ar 192.168.0.10
csf -dr 192.168.0.11
Všimněte si, jak použití -ar
nebo -dr
výše odstraní existující pravidla povolení a zakázání spojená s danou IP adresou.
Příklad 2 – Omezení příchozích připojení podle zdroje
V závislosti na zamýšleném použití vašeho serveru můžete chtít omezit příchozí připojení na bezpečné číslo na základě portu. Chcete-li tak učinit, otevřete /etc/csf/csf.conf a vyhledejte CONNLIMIT. Můžete zadat více portů; páry spojení oddělené čárkami. Například,
CONNLIMIT = "22;2,80;10"
povolí pouze 2 a 10 příchozí připojení ze stejného zdroje k portům TCP 22 a 80.
Příklad 3 – Odesílání upozornění e-mailem
Existuje několik typů upozornění, které si můžete vybrat. Vyhledejte nastavení EMAIL_ALERT v /etc/csf/csf.conf a ujistěte se, že jsou nastavena na "1"
, abyste obdrželi související upozornění. Například,
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"
způsobí odeslání upozornění na adresu uvedenou v LF_ALERT_TO pokaždé, když se někdo úspěšně přihlásí přes SSH nebo přepne na jiný účet pomocí příkazu su.
Možnosti konfigurace CSF a použití
Tyto následující možnosti se používají k úpravě a řízení konfigurace csf. Všechny konfigurační soubory csf jsou umístěny v adresáři /etc/csf. Pokud upravíte některý z následujících souborů, budete muset restartovat démona csf, abyste provedli změny.
- csf.conf : Hlavní konfigurační soubor pro ovládání CSF.
- csf.allow : Seznam povolených adres IP a CIDR na bráně firewall.
- csf.deny : Seznam zakázaných IP a CIDR adres na bráně firewall.
- csf.ignore : Seznam ignorovaných adres IP a CIDR na bráně firewall.
- csf.*ignore : Seznam různých ignorovaných souborů uživatelů, IP adres.
Odstraňte CSF Firewall
Pokud chcete zcela odstranit firewall CSF, stačí spustit následující skript umístěný v adresáři /etc/csf/uninstall.sh.
/etc/csf/uninstall.sh
Výše uvedený příkaz zcela vymaže CSF firewall se všemi soubory a složkami.
souhrn
V tomto článku jsme vysvětlili, jak nainstalovat, nakonfigurovat a používat CSF jako bránu firewall a systém detekce narušení. Další funkce jsou popsány v csf.conf.
Pokud například podnikáte v oblasti webhostingu, můžete integrovat CSF s řešeními pro správu, jako jsou Cpanel, WHM nebo známý Webmin.
Máte nějaké dotazy nebo připomínky k tomuto článku? Neváhejte nám poslat zprávu pomocí formuláře níže. Těšíme se na setkání s Vámi!