Kako namestiti požarni zid Config Server (CSF) na Debian/Ubuntu


ConfigServer in varnostni požarni zid, skrajšano kot CSF, je odprtokoden in napreden požarni zid, zasnovan za sisteme Linux. Ne zagotavlja le osnovne funkcionalnosti požarnega zidu, ampak ponuja tudi široko paleto dodatnih funkcij, kot so zaznavanje prijave/vdora, preverjanje izkoriščanja, ping zaščita pred smrtjo in še veliko več.

[ Morda vam bo všeč tudi: 10 uporabnih odprtokodnih varnostnih požarnih zidov za sisteme Linux ]

Poleg tega zagotavlja tudi integracijo uporabniškega vmesnika za uradno spletno mesto ConfigServerja.

V tem priročniku vas bomo vodili skozi namestitev in konfiguracijo ConfigServer Security & Firewall (CSF) v Debian in Ubuntu.

1. korak: Namestite požarni zid CSF v Debian in Ubuntu

Najprej morate namestiti nekaj odvisnosti, preden začnete nameščati požarni zid CSF. Na terminalu posodobite indeks paketa:

$ sudo apt update

Nato namestite odvisnosti, kot je prikazano:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Ko to odstranite, lahko nadaljujete na naslednji korak.

Ker CSF ni vključen v privzeta repozitorija Debian in Ubuntu, ga morate ročno namestiti. Za nadaljevanje prenesite datoteko tarball CSF, ki vsebuje vse namestitvene datoteke, z naslednjim ukazom wget.

$ wget http://download.configserver.com/csf.tgz

To prenese stisnjeno datoteko, imenovano csf.tgz.

Nato izvlecite stisnjeno datoteko.

$ tar -xvzf csf.tgz

To ustvari mapo, imenovano csf.

$ ls -l

Nato se pomaknite v mapo csf.

$ cd csf

Nato namestite požarni zid CSF tako, da zaženete prikazani namestitveni skript.

$ sudo bash install.sh

Če je šlo vse v redu, bi morali dobiti izhod, kot je prikazano.

Na tej točki je nameščen CSF. Vendar morate preveriti, ali so zahtevane iptables naložene. Če želite to doseči, zaženite ukaz:

$ sudo perl /usr/local/csf/bin/csftest.pl

2. korak: Konfigurirajte požarni zid CSF v Debianu in Ubuntuju

Potrebna je dodatna konfiguracija. Nato moramo spremeniti nekaj nastavitev, da omogočimo CSF. Torej, pojdite na konfiguracijsko datoteko csf.conf.

$ sudo nano /etc/csf/csf.conf

Uredite direktivo TESTING iz 1 v 0, kot je prikazano spodaj.

TESTING = "0"

Nato nastavite direktivo RESTRICT_SYSLOG na »3«, da omejite dostop do rsyslog/syslog samo za člane RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Nato lahko odprete vrata TCP in UDP tako, da poiščete direktive TCP_IN, TCP_OUT, UDP_IN in UDP_OUT.

Privzeto so odprta naslednja vrata.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Verjetno je, da ne potrebujete odprtih vseh vrat, najboljše strežniške prakse pa zahtevajo, da odprete samo vrata, ki jih uporabljate. Priporočamo, da odstranite vsa nepotrebna vrata in pustite tista, ki jih uporabljajo storitve, ki se izvajajo v vašem sistemu.

Ko končate z določitvijo vrat, ki jih potrebujete, znova naložite CSF, kot je prikazano.

$ sudo csf -r

Če želite prikazati vsa pravila tabele IP, definirana na strežniku, zaženite ukaz:

$ sudo csf -l

Požarni zid CSF lahko zaženete in omogočite ob zagonu na naslednji način:

$ sudo systemctl start csf
$ sudo systemctl enable csf

Nato potrdite, da požarni zid res deluje:

$ sudo systemctl status csf

3. korak: Blokiranje in dovolitev naslovov IP v požarnem zidu CSF

Ena od ključnih funkcij požarnega zidu je zmožnost dovoliti ali blokirati naslove IP za dostop do strežnika. S CSF lahko naslove IP lahko uvrstite na seznam dovoljenih (dovoli), črnih (zavrni) ali prezrete, tako da spremenite naslednje konfiguracijske datoteke:

  • csf.allow
  • csf.deny
  • csf.ignore

Če želite blokirati naslov IP, preprosto dostopajte do konfiguracijske datoteke csf.deny.

$ sudo nano /etc/csf/csf.deny

Nato določite naslove IP, ki jih želite blokirati. Naslove IP lahko določite vrstico za vrstico, kot je prikazano:

192.168.100.50
192.168.100.120

Lahko pa uporabite zapis CIDR za blokiranje celotnega podomrežja.

192.168.100.0/24

Če želite dovoliti naslov IP prek Iptables in ga izključiti iz vseh filtrov ali blokov, uredite konfiguracijsko datoteko csf.allow.

$ sudo nano /etc/csf/csf.allow

Na vrstico lahko navedete naslov IP ali uporabite naslov CIDR, kot je bilo predhodno prikazano pri blokiranju IP-jev.

OPOMBA: Naslov IP bo dovoljen, tudi če je izrecno opredeljen v konfiguracijski datoteki csf.deny. Če želite zagotoviti, da je naslov IP blokiran ali na črnem seznamu, se prepričajte, da ni naveden v datoteki csf.allow.

Poleg tega vam CSF omogoča izključitev naslova IP iz tabel IP ali filtrov. Vsak naslov IP v datoteki csf.ignore bo izvzet iz filtrov iptables. Blokira se lahko samo, če je navedeno v datoteki csf.deny.

Če želite naslov IP izvzeti iz filtrov, odprite datoteko csf.ignore.

$ sudo nano /etc/csf/csf.ignore

Ponovno lahko navedete IP-je vrstico za vrstico ali uporabite zapis CIDR.

In to zaključuje naš današnji vodnik. Upamo, da lahko zdaj brez težav namestite in konfigurirate požarni zid CSF.