GNU/Linux >> Znalost Linux >  >> Debian

Jak nainstalovat Config Server Firewall (CSF) na Debian 11

CSF je také známý jako "Config Server Firewall" je bezplatný a pokročilý firewall pro systémy Linux. Dodává se s některými pokročilými bezpečnostními funkcemi, jako je detekce narušení, záplavy a přihlášení. Je navržen tak, aby se bránil mnoha útokům, jako je skenování portů, záplavy SYN a útoky hrubou silou přihlášení. Poskytuje také integraci pro cPanel, DirectAdmin a Webmin.

Tento tutoriál vysvětlí instalaci CSF, základní konfiguraci a základní příkazy pro CSF ​​na Debianu 11.

Předpoklady

  • Server se systémem Debian 11.
  • Na serveru je nakonfigurováno heslo uživatele root.

Začínáme

Před spuštěním se doporučuje aktualizovat systémové balíčky na aktualizovanou verzi. Můžete to udělat pomocí následujícího příkazu:

apt-get update -y

Jakmile jsou všechny balíčky aktualizovány, nainstalujte další požadované závislosti pomocí následujícího příkazu:

apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y

Instalovat CSF na Debian 11

Ve výchozím nastavení není balíček CSF součástí výchozího úložiště Debian 11. Budete si jej muset stáhnout z jeho oficiálních webových stránek.

Nejnovější verzi CSF si můžete stáhnout pomocí následujícího příkazu:

wget http://download.configserver.com/csf.tgz

Po dokončení stahování rozbalte stažený soubor pomocí následujícího příkazu:

tar -xvzf csf.tgz

Dále změňte adresář na CSF a spusťte install.sh skript pro instalaci CSF na váš server.

cd csf
bash install.sh

Po instalaci CSF byste měli získat následující výstup:

Nezapomeňte:1. Nakonfigurujte následující možnosti v konfiguraci csf tak, aby vyhovovaly vašemu serveru:TCP_*, UDP_*2. Restartujte csf a lfd3. Jakmile budete s firewallem spokojeni, nastavte TESTING na 0, lfd se nespustí, dokud to neuděláte Přidání aktuální IP adresy SSH relace do csf whitelistu v csf.allow:*WARNING* URLGET nastaveno na použití LWP, ale není nainstalován modul perl, návrat k použití CURL/WGETAdding 106.222.22.32 na csf.allow pouze v režimu TESTOVÁNÍ (nikoli iptables ACCEPT)*VAROVÁNÍ* Režim TESTOVÁNÍ je povolen - nezapomeňte jej deaktivovat v konfiguraci'lfd.service' -> '/usr /lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Vytvořen symbolický odkaz /etc/systemd/system/multi-user.target.wants/csf .service → /lib/systemd/system/csf.service.Vytvořen symbolický odkaz /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Nepodařilo se zakázat jednotku :Soubor jednotky firewalld.service neexistuje.Nepodařilo se zastavit firewalld.service:Jednotka firewalld.service nenačtena.Unit firewalld.service neexistuje, přesto pokračuje.Vytvořen symbolický odkaz /etc/systemd/system/firewalld.service → /dev /null.'/atd /csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Installation Completed

Po instalaci ověřte požadované moduly iptables pro CSF ​​pomocí následujícího příkazu:

perl /usr/local/csf/bin/csftest.pl

Pokud je vše v pořádku, měli byste získat následující výstup:

Testování ip_tables/iptable_filter...OKTesting ipt_LOG...OKTesting ipt_multiport/xt_multiport...OKTesting ipt_REJECT...OKTesting ipt_state/xt_state...OKTesting ipt_limit/xt_limit...OKTesting ipt_multiport/xt_multiport...OKTesting ipt_REJECT...OKTesting ipt_state/xt_state...OKTesting ipt_limit/xt_limit...OKTesting ipt_multiport/xt_multiport... .OKTesting ipt_owner/xt_owner...OKTesting iptable_nat/ipt_REDIRECT...OKTesting iptable_nat/ipt_DNAT...OKRESULT:csf by měl na tomto serveru fungovat

Konfigurovat CSF

Dále budete muset nakonfigurovat CSF na základě vašich požadavků. Můžete jej nakonfigurovat úpravou /etc/csf/csf.conf soubor.

nano /etc/csf/csf.conf

Nejprve najděte řádek TESTING ="1" a změňte hodnotu na "0", abyste povolili CSF:

TESTOVÁNÍ ="0"

Dále najděte řádek RESTRICT_SYSLOG ="0" a změňte hodnotu na 3 nastavit přístup k souborům syslog/rsyslog pouze pro členy skupiny RESTRICT_SYSLOG_GROUP :

RESTRICT_SYSLOG ="3"

Do následujícího řádku přidejte požadované příchozí porty TCP:

TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"

Přidejte požadované odchozí TCP porty do následujícího řádku:

# Povolit odchozí porty TCPTCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"

Přidejte požadované příchozí UDP otevřené porty do následujícího řádku:

# Povolit příchozí porty UDPUDP_IN ="20,21,53,80,443"

Přidejte požadované odchozí porty UDP do následujícího řádku:

# Povolit odchozí porty UDPUDP_OUT ="20,21,53,113,123"

Uložte a zavřete soubor a poté znovu načtěte CSF firewall, abyste použili změny:

csf -r

Základní příkazy CSF

Chcete-li zastavit bránu firewall CSF, spusťte následující příkaz:

csf -s

Chcete-li vyprázdnit bránu firewall CSF, spusťte následující příkaz:

csf -f

Chcete-li zobrazit všechna pravidla IPTABLES přidaná CSF, spusťte následující příkaz:

csf -l

Chcete-li spustit CSF a umožnit jeho spuštění při restartování systému, spusťte následující příkaz:

systemctl spustit csf
systemctl povolit csf

Chcete-li zkontrolovat stav brány firewall CSF, spusťte následující příkaz:

systemctl status csf

Měli byste získat následující výstup:

? csf.service - ConfigServer Firewall &Security - csf Načteno:načteno (/lib/systemd/system/csf.service; povoleno; přednastaveno dodavatelem:povoleno) Aktivní:aktivní (ukončeno) od So 2021-09-18 15:42:04 UTC; před 11s Proces:8022 ExecStart=/usr/sbin/csf --initup (kód=ukončeno, stav=0/ÚSPĚCH) Hlavní PID:8022 (kód=ukončeno, stav=0/ÚSPĚCH) CPU:705msSep 18 15:42:04 debian11 csf[8022]:PŘIJMOUT všechny přihlášení * out lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOGDROPOUT all opt in * out !lo ::/0 -> ::/0 18. září 15:42:04 debian11 csf[8022]:LOGDROPIN všichni se přihlaste ! odhlaste se * ::/0 -> ::/0 18. září 15:42:04 debian11 csf[8022]:csf:FASTSTART načítání DNS (IPv4) 18. září 15:42:04 debian11 csf[8022]:csf:RYCHLE START načítání DNS (IPv6) 18. září 15:42:04 debian11 csf[8022]:LOCALOUTPUT all opt -- in * out !lo 0.0. 0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022]:LOCALINPUT all opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022]:LOCALOUTPUT všichni přihlášení * odhlášení !lo ::/0 -> ::/0 18. září 15:42:04 debian11 csf[8022]:LOCALINPUT všichni přihlášení !odhlášení * ::/0 -> ::/018. září 15:42:04 debian11 systemd[1]:Dokončeno ConfigServer Firewall &Security - csf.
 

 Chcete-li povolit konkrétního hostitele podle adresy IP, spusťte následující příkaz:
 
csf -a 192.168.100.10
 

 Chcete-li odmítnout konkrétního hostitele pomocí adresy IP, spusťte následující příkaz:
 
csf -d 192.168.100.11
 

 Chcete-li odebrat IP ze seznamu povolených, spusťte následující příkaz:
 
csf -ar 192.168.100.10
 

 Chcete-li odebrat IP ze seznamu odmítnutí, spusťte následující příkaz:
 
csf -dr 192.168.100.11
 

 Důvěryhodné adresy IP můžete přidat úpravou /etc/csf/csf.allow soubor:
 
nano /etc/csf/csf.allow
 

 Přidejte své důvěryhodné IP adresy:
 
192.168.100.10
 

 Nedůvěryhodné IP adresy můžete přidat úpravou /etc/csf/csf.deny soubor:
 
nano /etc/csf/csf.deny
 

 Přidejte své nedůvěryhodné IP adresy:
 
192.168.100.11
 
Závěr
 

 Ve výše uvedené příručce jsme vysvětlili, jak nainstalovat CSF firewall na Debian 11. Ukážeme vám také některé základní CSF příkazy pro správu vašeho provozu. Další informace naleznete v dokumentaci CSF.
Debian

  1. Jak nainstalovat Redis Server na Debian 11

  2. Jak nainstalovat MySQL 8.0 / 5.7 na Debian 11 / Debian 10

  3. Jak nainstalovat ProFTPD na Debian 8

  1. Jak nainstalovat MySQL Server na Debian 9

  2. Jak nainstalovat Odoo 12 na Debian 9

  3. Jak nakonfigurovat bránu firewall s CSF na Debianu 9

  1. Jak nainstalovat Minecraft Server na Debian 9

  2. Jak nainstalovat SuiteCRM na Debian 9

  3. Jak nainstalovat MySQL 8 na Debian 10