CSF, také známý jako „Config Server Firewall“, je jednou z nejpopulárnějších a nejužitečnějších aplikací brány firewall pro Linux. Je založen na Iptables a pomáhá zabezpečit váš server proti záplavě SYN, skenování portů a útokům hrubou silou. CSF monitoruje soubory protokolu, a když jsou zjištěny nesprávné pokusy z konkrétní IP, budou dočasně zablokovány. CSF také poskytuje webové uživatelské rozhraní, které lze použít k blokování a odblokování vzdálených IP adres z webového prohlížeče. Může být také integrován s cPanel, DirectAdmin a Webmin.
V tomto tutoriálu vysvětlíme, jak nainstalovat CSF na Ubuntu 20.04.
Předpoklady
• Nové Ubuntu 20.04 VPS na cloudové platformě Atlantic.Net
• Heslo uživatele root nakonfigurované na vašem serveru
Krok 1 – Vytvořte cloudový server Atlantic.Net
Nejprve se přihlaste ke svému cloudovému serveru Atlantic.Net. Vytvořte nový server a jako operační systém vyberte Ubuntu 20.04 s alespoň 1 GB RAM. Připojte se ke svému cloudovému serveru přes SSH a přihlaste se pomocí přihlašovacích údajů zvýrazněných v horní části stránky.
Jakmile se přihlásíte ke svému serveru Ubuntu 20.04, spusťte následující příkaz a aktualizujte svůj základní systém nejnovějšími dostupnými balíčky.
apt-get update -y
Krok 2 – Instalace požadovaných závislostí
Nejprve budete muset nainstalovat některé závislosti požadované pro CSF. Všechny závislosti můžete nainstalovat pomocí následujícího příkazu:
apt-get install sendmail dnsutils unzip git perl iptables libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
Jakmile jsou všechny závislosti nainstalovány, můžete pokračovat v instalaci CSF.
Krok 3 – Instalace CSF
wget http://download.configserver.com/csf.tgz
Po stažení rozbalte stažený soubor pomocí následujícího příkazu:
tar -xvzf csf.tgz
Dále změňte adresář na extrahovaný adresář a nainstalujte CSF spuštěním skriptu install.sh:
cd csf bash install.sh
Po úspěšném dokončení instalace byste měli získat následující výstup:
Installation Completed
Dále ověřte, zda jsou nainstalovány všechny požadované moduly Iptables pomocí následujícího příkazu:
perl /usr/local/csf/bin/csftest.pl
Pokud je vše v pořádku, měli byste získat následující výstup:
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Krok 4 – Konfigurace CSF
Dále budete muset nakonfigurovat CSF podle vašeho bezpečnostního standardu. Můžete jej nakonfigurovat úpravou souboru /etc/csf/csf.conf:
nano /etc/csf/csf.conf
Změňte následující řádek podle svých požadavků:
TESTING = "0" RESTRICT_SYSLOG = "3" TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" # Allow incoming UDP ports UDP_IN = "20,21,53,80,443" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" # Allow incoming PING. Disabling PING will likely break external uptime # monitoring ICMP_IN = "1"
Uložte a zavřete soubor a restartujte CSF pomocí následujícího příkazu:
csf -r
Dále spusťte následující příkaz a vypište všechna pravidla Iptables:
csf -l
Měli byste získat následující výstup:
iptables mangle table ===================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 46 packets, 3014 bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 26 packets, 15816 bytes) num pkts bytes target prot opt in out source destination iptables raw table ================== Chain PREROUTING (policy ACCEPT 51 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 27 packets, 15972 bytes) num pkts bytes target prot opt in out source destination iptables nat table ================== Chain PREROUTING (policy ACCEPT 19 packets, 1410 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 76 bytes) num pkts bytes target prot opt in out source destination
Krok 5 – Povolte webové uživatelské rozhraní CSF
CSF poskytuje webové rozhraní pro správu firewallu z webového prohlížeče. Ve výchozím nastavení je ve výchozím konfiguračním souboru CSF zakázán, takže jej budete muset nejprve povolit.
Upravte hlavní konfigurační soubor CSF pomocí následujícího příkazu:
nano /etc/csf/csf.conf
Změňte následující řádky:
#Enable Web UI UI = "1" #Listening Port UI_PORT = "8080" #Admin username UI_USER = "admin" #Admin user password UI_PASS = "your-password" #Listening Interface UI_IP = ""
Po dokončení uložte a zavřete soubor. Poté budete muset upravit soubor /etc/csf/ui/ui.allow a přidat IP vašeho serveru a IP vzdáleného počítače, odkud chcete přistupovat k webovému uživatelskému rozhraní CSF.
nano /etc/csf/ui/ui.allow
Přidejte IP svého serveru a IP vzdáleného počítače:
your-server-ip remote-machine-ip
Uložte a zavřete soubor a poté restartujte službu CSF a LFD, abyste použili změny:
csf -r service lfd restart
V tomto okamžiku se CSF spustí a naslouchá na portu 8080. Můžete to zkontrolovat pomocí následujícího příkazu:
ss -antpl | grep 8080
You should get the following output:
LISTEN 0 5 0.0.0.0:8080 0.0.0.0:* users:(("lfd UI",pid=34346,fd=4)) Krok 6 – Přístup k webovému rozhraní CSF
Nyní otevřete webový prohlížeč a zadejte adresu URL http://ip-vaseho-serveru:8080. Budete přesměrováni na přihlašovací stránku CSF:
Zadejte své uživatelské jméno a heslo správce a klikněte na tlačítko Enter. Na následující obrazovce byste měli vidět řídicí panel CSF:
Odtud můžete spravovat svůj firewall a snadno blokovat a odblokovat jakoukoli IP adresu.
Krok 7 – Správa CSF pomocí příkazového řádku
Firewall CSF můžete také spravovat – například povolit, zakázat nebo odebrat IP adresu – z rozhraní příkazového řádku.
Chcete-li zobrazit všechna pravidla brány firewall, spusťte následující příkaz:
csf -l
Chcete-li zastavit CSF, spusťte následující příkaz:
csf -s
Chcete-li povolit konkrétní adresu IP, spusťte následující příkaz:
csf -a ip-address
Chcete-li odepřít adresu IP, spusťte následující příkaz:
csf -d ip-address
Chcete-li odebrat blokovanou IP adresu z pravidla CSF, spusťte následující příkaz:
csf -dr ip-address
Chcete-li ověřit, zda je adresa IP blokována nebo ne, spusťte následující příkaz:
csf -g ip-address
Chcete-li vyprázdnit pravidla brány firewall CSF, spusťte následující příkaz:
csf -f
Chcete-li zakázat CSF, spusťte následující příkaz:
csf -x
Závěr
Gratulujeme! Úspěšně jste nainstalovali CSF firewall na Ubuntu 20.04. Povolili jste také webové uživatelské rozhraní pro správu CSF z webového prohlížeče. Vyzkoušejte CSF ještě dnes na VPS hostingu od Atlantic.Net.