Kako namestiti požarni zid Config Server (CSF) na Debian/Ubuntu
ConfigServer in varnostni požarni zid, skrajšano kot CSF, je odprtokoden in napreden požarni zid, zasnovan za sisteme Linux. Ne zagotavlja le osnovne funkcionalnosti požarnega zidu, ampak ponuja tudi široko paleto dodatnih funkcij, kot so zaznavanje prijave/vdora, preverjanje izkoriščanja, ping zaščita pred smrtjo in še veliko več.
[ Morda vam bo všeč tudi: 10 uporabnih odprtokodnih varnostnih požarnih zidov za sisteme Linux ]
Poleg tega zagotavlja tudi integracijo uporabniškega vmesnika za uradno spletno mesto ConfigServerja.
V tem priročniku vas bomo vodili skozi namestitev in konfiguracijo ConfigServer Security & Firewall (CSF) v Debian in Ubuntu.
1. korak: Namestite požarni zid CSF v Debian in Ubuntu
Najprej morate namestiti nekaj odvisnosti, preden začnete nameščati požarni zid CSF. Na terminalu posodobite indeks paketa:
$ sudo apt update
Nato namestite odvisnosti, kot je prikazano:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Ko to odstranite, lahko nadaljujete na naslednji korak.
Ker CSF ni vključen v privzeta repozitorija Debian in Ubuntu, ga morate ročno namestiti. Za nadaljevanje prenesite datoteko tarball CSF, ki vsebuje vse namestitvene datoteke, z naslednjim ukazom wget.
$ wget http://download.configserver.com/csf.tgz
To prenese stisnjeno datoteko, imenovano csf.tgz.
Nato izvlecite stisnjeno datoteko.
$ tar -xvzf csf.tgz
To ustvari mapo, imenovano csf.
$ ls -l
Nato se pomaknite v mapo csf.
$ cd csf
Nato namestite požarni zid CSF tako, da zaženete prikazani namestitveni skript.
$ sudo bash install.sh
Če je šlo vse v redu, bi morali dobiti izhod, kot je prikazano.
Na tej točki je nameščen CSF. Vendar morate preveriti, ali so zahtevane iptables naložene. Če želite to doseči, zaženite ukaz:
$ sudo perl /usr/local/csf/bin/csftest.pl
2. korak: Konfigurirajte požarni zid CSF v Debianu in Ubuntuju
Potrebna je dodatna konfiguracija. Nato moramo spremeniti nekaj nastavitev, da omogočimo CSF. Torej, pojdite na konfiguracijsko datoteko csf.conf.
$ sudo nano /etc/csf/csf.conf
Uredite direktivo TESTING iz 1 v 0, kot je prikazano spodaj.
TESTING = "0"
Nato nastavite direktivo RESTRICT_SYSLOG na »3«, da omejite dostop do rsyslog/syslog samo za člane RESTRICT_SYSLOG_GROUP.
RESTRICT_SYSLOG = "3"
Nato lahko odprete vrata TCP in UDP tako, da poiščete direktive TCP_IN, TCP_OUT, UDP_IN in UDP_OUT.
Privzeto so odprta naslednja vrata.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
Verjetno je, da ne potrebujete odprtih vseh vrat, najboljše strežniške prakse pa zahtevajo, da odprete samo vrata, ki jih uporabljate. Priporočamo, da odstranite vsa nepotrebna vrata in pustite tista, ki jih uporabljajo storitve, ki se izvajajo v vašem sistemu.
Ko končate z določitvijo vrat, ki jih potrebujete, znova naložite CSF, kot je prikazano.
$ sudo csf -r
Če želite prikazati vsa pravila tabele IP, definirana na strežniku, zaženite ukaz:
$ sudo csf -l
Požarni zid CSF lahko zaženete in omogočite ob zagonu na naslednji način:
$ sudo systemctl start csf $ sudo systemctl enable csf
Nato potrdite, da požarni zid res deluje:
$ sudo systemctl status csf
3. korak: Blokiranje in dovolitev naslovov IP v požarnem zidu CSF
Ena od ključnih funkcij požarnega zidu je zmožnost dovoliti ali blokirati naslove IP za dostop do strežnika. S CSF lahko naslove IP lahko uvrstite na seznam dovoljenih (dovoli), črnih (zavrni) ali prezrete, tako da spremenite naslednje konfiguracijske datoteke:
- csf.allow
- csf.deny
- csf.ignore
Če želite blokirati naslov IP, preprosto dostopajte do konfiguracijske datoteke csf.deny.
$ sudo nano /etc/csf/csf.deny
Nato določite naslove IP, ki jih želite blokirati. Naslove IP lahko določite vrstico za vrstico, kot je prikazano:
192.168.100.50 192.168.100.120
Lahko pa uporabite zapis CIDR za blokiranje celotnega podomrežja.
192.168.100.0/24
Če želite dovoliti naslov IP prek Iptables in ga izključiti iz vseh filtrov ali blokov, uredite konfiguracijsko datoteko csf.allow.
$ sudo nano /etc/csf/csf.allow
Na vrstico lahko navedete naslov IP ali uporabite naslov CIDR, kot je bilo predhodno prikazano pri blokiranju IP-jev.
OPOMBA: Naslov IP bo dovoljen, tudi če je izrecno opredeljen v konfiguracijski datoteki csf.deny. Če želite zagotoviti, da je naslov IP blokiran ali na črnem seznamu, se prepričajte, da ni naveden v datoteki csf.allow.
Poleg tega vam CSF omogoča izključitev naslova IP iz tabel IP ali filtrov. Vsak naslov IP v datoteki csf.ignore bo izvzet iz filtrov iptables. Blokira se lahko samo, če je navedeno v datoteki csf.deny.
Če želite naslov IP izvzeti iz filtrov, odprite datoteko csf.ignore.
$ sudo nano /etc/csf/csf.ignore
Ponovno lahko navedete IP-je vrstico za vrstico ali uporabite zapis CIDR.
In to zaključuje naš današnji vodnik. Upamo, da lahko zdaj brez težav namestite in konfigurirate požarni zid CSF.