Config Server Firewall (CSF) je bezplatný firewall s otevřeným zdrojovým kódem, který se používá k ochraně serverů Linux před neověřenými uživateli. Služby jako SSH, SMTP, HTTP, IMAP, POP3 a FTP, stejně jako mnoho dalších protokolů, jsou průběžně monitorovány CSF.
Tento firewall umožňuje dočasně nebo trvale blokovat a odblokovat zadané IP adresy. Má také webové rozhraní pro cPanel, Webmin a DirectAdmin, které vám umožňuje spravovat váš firewall z webového prohlížeče.
Zde v LinuxAPT, jako součást našich služeb správy serveru, pravidelně pomáháme našim zákazníkům provádět související dotazy na zabezpečení brány firewall systému Linux.
V této souvislosti se podíváme na proces instalace a konfigurace brány Config Server Firewall na Ubuntu 20.04.
Kroky pro konfiguraci CSF (Config Server Firewall) na Ubuntu
1. Odeberte UFW firewall
Ve výchozím nastavení je Ubuntu dodáváno s již nainstalovaným firewallem UFW. První věc, kterou byste chtěli udělat, je odstranit ji před instalací brány firewall CSF. Spusťte tedy příkaz:
$ sudo apt remove ufw
2. Nainstalujte požadované závislosti
CSF Web přichází s webovým rozhraním založeným na perlu, které vyžaduje nainstalované některé závislosti. Nainstalujte požadované závislosti pomocí níže uvedeného příkazu:
$ sudo apt-get install sendmail dnsutils unzip git perl iptables libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
3. Stáhněte si Config Server Firewall (CSF)
Stáhněte si archivní soubor CSF z jeho oficiálních stránek, protože není dostupný v repozitářích Ubuntu. Spusťte následující příkaz wget ke stažení CSF:
$ sudo wget http://download.configserver.com/csf.tgz
Po dokončení stahování rozbalte soubor archivu příkazem:
$ tar -xvzf csf.tgz
4. Nainstalujte Config Server Firewall (CSF)
Dále přejděte do adresáře CSF a nainstalujte jej spuštěním následujícího skriptu:
$ cd csf
$ sh install.sh
Po dokončení instalace se na terminálu zobrazí zpráva o úspěchu. Chcete-li ověřit, zda je CSF nainstalován a správně spuštěn, spusťte příkaz níže:
$ sudo perl /usr/local/csf/bin/csftest.pl
5. Nakonfigurujte Config Server Firewall
CSF lze konfigurovat úpravou jeho konfiguračního souboru, který je v cestě /etc/csf/csf.conf:
$ sudo nano /etc/csf/csf.conf
Změňte následující řádky na začátku konfiguračního souboru:
TESTING = "0"
RESTRICT_SYSLOG = "3"
Uložte a znovu načtěte CSF pomocí následujících příkazů:
$ sudo csf -ra
Stav CSF můžete také zkontrolovat pomocí následujícího příkazu:
$ sudo systemctl status csf
Zde je služba CSF spuštěna.
Konfigurační soubor CSF nabízí širokou škálu nastavení. Výchozí nastavení jsou obecně vyhovující a lze je použít prakticky na jakémkoli serveru. Běžné útoky, jako je skenování portů, záplavové útoky a pokusy o neoprávněný přístup, jsou blokovány výchozím nastavením v souboru.
Pokud chcete svou konfiguraci ještě více doladit, přečtěte si komentáře v /etc/csf/csf.conf a proveďte potřebné změny.
6. Správa CSF pomocí příkazového řádku
CSF firewall můžete spravovat pomocí příkazového řádku. IP adresu můžete povolit, zakázat nebo zakázat. Níže jsou uvedeny příklady použití příkazu csf.
Povolte konkrétní IP adresu pomocí níže uvedeného příkazu:
$ csf -a ip_address
Odepřít IP adresu pomocí volby -d následované IP adresou pomocí níže uvedeného příkazu:
$ csf -d ip_address
Chcete-li odstranit blokovanou IP adresu z pravidla CSF, spusťte:
$ csf -dr ip_address
Chcete-li zobrazit všechna pravidla brány firewall, spusťte:
$ csf -l
7. Přístup k webovému rozhraní CSF
CSF poskytuje webové rozhraní pro správu firewallu z webového prohlížeče.
Nejprve upravte hlavní konfigurační soubor CSF pomocí následujícího příkazu:
$ nano /etc/csf/csf.conf
Přidejte následující řádky:
#Enable Web UI
UI = "1"
#Listening Port
UI_PORT = "8080"
#Admin username
UI_USER = "admin"
#Admin user password
UI_PASS = "your-password"
#Listening Interface
UI_IP = ""
Po dokončení uložte a zavřete soubor. Poté budete muset upravit soubor /etc/csf/ui/ui.allow a přidat IP adresu vašeho serveru a IP vzdáleného počítače, odkud chcete přistupovat k webovému uživatelskému rozhraní CSF.
$ nano /etc/csf/ui/ui.allow
Přidejte IP svého serveru a IP vzdáleného počítače:
your-server-ip
remote-machine-ip
Uložte a zavřete soubor, poté restartujte službu CSF a LFD, abyste použili změny:
$ csf -r
$ service lfd restart
Nakonec otevřete webový prohlížeč a vyhledejte IP adresu serveru následovanou portem 8080:
http://your-server-ip:8080