V tomto tutoriálu vám ukážeme, jak nainstalovat CSF Firewall na Ubuntu 20.04 LTS. Pro ty z vás, kteří to nevěděli, je ConfigServer Security &Firewall (CSF) populární a otevřený -source bezpečnostní nástroj Stateful Packet Inspection (SPI) pro Linux. Dále poskytuje jednoduché rozhraní pro iptables k ochraně linuxových serverů. CSF má několik funkcí, jako je firewall pro stavovou kontrolu paketů, detekce narušení, démon při selhání přihlášení, Ochrana DDOS a integrace ovládacího panelu.
Tento článek předpokládá, že máte alespoň základní znalosti Linuxu, víte, jak používat shell, a co je nejdůležitější, hostujete svůj web na vlastním VPS. Instalace je poměrně jednoduchá a předpokládá, že běží v účtu root, pokud ne, možná budete muset přidat 'sudo ‘ k příkazům pro získání oprávnění root. Ukážu vám krok za krokem instalaci ConfigServer Security &Firewall (CSF) na Ubuntu 20.04 (Focal Fossa). Můžete postupovat podle stejných pokynů pro Ubuntu 18.04, 16.04 a jakoukoli jinou distribuci založenou na Debianu, jako je Linux Mint.
Předpoklady
- Server s jedním z následujících operačních systémů:Ubuntu 20.04, 18.04 a jakoukoli jinou distribucí založenou na Debianu, jako je Linux Mint nebo základní OS.
- Abyste předešli případným problémům, doporučujeme použít novou instalaci operačního systému.
non-root sudo usernebo přístup kroot user. Doporučujeme jednat jakonon-root sudo user, protože však můžete poškodit svůj systém, pokud nebudete při jednání jako root opatrní.
Nainstalujte CSF Firewall na Ubuntu 20.04 LTS Focal Fossa
Krok 1. Nejprve se ujistěte, že všechny vaše systémové balíčky jsou aktuální, spuštěním následujícího apt příkazy v terminálu.
sudo apt update sudo apt upgrade
Krok 2. Instalace brány CSF Firewall na Ubuntu 20.04.
Nyní stahujeme nejnovější zdrojový kód archivu CSF z jeho oficiální stránky:
wget http://download.configserver.com/csf.tgz
Dále rozbalte stažený soubor a spusťte jeho instalační skript:
tar -xvzf csf.tgz cd csf sudo bash install.sh
Poté spusťte csftest.pl Perl skript pro ověření, zda jsou ve vašem systému nainstalovány všechny požadované moduly iptables, aby systém správně fungoval:
sudo perl /usr/local/csf/bin/csftest.pl
Výstup:
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Krok 3. Nakonfigurujte CSF.
Nyní nakonfigurujte CSF podle vašeho bezpečnostního standardu. Můžete jej nakonfigurovat úpravou souboru /etc/csf/csf.conf :
nano /etc/csf/csf.conf
Změňte následující řádek podle svých požadavků:
TESTING = "0" RESTRICT_SYSLOG = "3" TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" # Allow incoming UDP ports UDP_IN = "20,21,53,80,443" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123" # Allow incoming PING. Disabling PING will likely break external uptime # monitoring ICMP_IN = "1"
Uložte a zavřete soubor a poté restartujte CSF pomocí následujícího příkazu:
csf -r csf -l
Výstup:
iptables mangle table ===================== Chain PREROUTING (policy ACCEPT 55 packets, 3332 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 48 packets, 3054 bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 24 packets, 15822 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 24 packets, 15822 bytes) num pkts bytes target prot opt in out source destination iptables raw table ================== Chain PREROUTING (policy ACCEPT 51 packets, 3321 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 24 packets, 15966 bytes) num pkts bytes target prot opt in out source destination iptables nat table ================== Chain PREROUTING (policy ACCEPT 12 packets, 1410 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 1 packets, 69 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 23 bytes) num pkts bytes target prot opt in out source destination
Krok 4. Přístup k webovému rozhraní CSF.
CSF poskytuje webové rozhraní pro správu brány firewall z webového prohlížeče. Nejprve upravte hlavní konfigurační soubor CSF pomocí následujícího příkazu:
nano /etc/csf/csf.conf
Přidejte následující řádky:
#Enable Web UI UI = "1" #Listening Port UI_PORT = "8080" #Admin username UI_USER = "admin" #Admin user password UI_PASS = "your-password" #Listening Interface UI_IP = ""
Po dokončení soubor uložte a zavřete. Poté budete muset upravit /etc/csf/ui/ui.allow a přidejte IP adresu svého serveru a IP vzdáleného počítače, odkud chcete přistupovat k webovému uživatelskému rozhraní CSF.
nano /etc/csf/ui/ui.allow
Přidejte IP svého serveru a IP vzdáleného počítače:
your-server-ip remote-machine-ip
Uložte a zavřete soubor a poté restartujte službu CSF a LFD, aby se změny projevily:
csf -r service lfd restart
Nakonec otevřete webový prohlížeč a vyhledejte IP adresu serveru následovanou portem 8080:
http://your-server-ip:8080
Blahopřejeme! Úspěšně jste nainstalovali CSF. Děkujeme, že jste použili tento návod k instalaci zabezpečení a brány firewall ConfigServer do vašeho systému Ubuntu 20.04 LTS Focal Fossa. Pro další nápovědu nebo užitečné informace vám doporučujeme zkontrolovat oficiální stránky CSF.