Config Server Firewall (nebo CSF) je pokročilý firewall a proxy server pro Linux. Jeho primárním účelem je umožnit správci systému řídit přístup mezi místním hostitelem a připojenými počítači. Software lze také nakonfigurovat tak, aby monitoroval síťový provoz kvůli škodlivé aktivitě.
Nabízí řadu funkcí, jako jsou „Zásady brány firewall“, které umožňují filtrování všeho druhu kromě služeb překladu síťových adres (NAT), služeb proxy, ukládání dotazů překladače DNS do mezipaměti na vašich vlastních serverech DNS nebo je neukládat do mezipaměti vůbec. Podporuje také ověřené uživatele s různými úrovněmi oprávnění pro specifické úkoly, jako je správa zásad brány firewall nebo rozšiřování služby NAT. Má také pěkný „System Logger“, který umožňuje protokolování všech druhů událostí, které se v systému dějí, například přihlášení, odhlášení, úpravy souborů, doplňky nebo jakýkoli jiný druh událostí.
Software je k dispozici v několika jazycích, včetně angličtiny, portugalštiny a francouzštiny.
Zdrojový kód softwaru je volně dostupný za podmínek GNU General Public License.
V současnosti jsou nejběžnějším vektorem útoku pro většinu bezpečnostních produktů zranitelnosti aplikací a konfiguračních souborů. CSF ztěžuje využití těchto nedostatků. Pokud plánujete provozovat firmu s otevřeným zdrojovým kódem nebo používat systém Linux jako backend pro vaši webovou aplikaci, měli byste zvážit instalaci brány Config Server Firewall (CSF).
V tomto článku si ukážeme, jak můžete nainstalovat a nakonfigurovat CSF server v Debian Linuxu. Tato příručka funguje pro Debian verze 10 a 11. Po přečtení této příručky budete moci zapnout základní CSF firewall a proxy server.
Předpoklady
- Tento článek předpokládá, že máte systém Linux Debian 10 nebo Debian 11 s právy root.
- Tato příručka předpokládá, že máte na serveru funkční internetové připojení.
- Tato příručka předpokládá, že máte základní znalosti systému Linux a příkazového řádku.
Aktualizace systému
Před instalací jakéhokoli balíčku je vždy vhodné aktualizovat systém. Spusťte následující příkaz pro aktualizaci systému.
sudo apt update && sudo apt upgrade -y
Tyto příkazy ověří, zda jsou v úložištích dostupné aktualizace, a nainstalují je. Poté je třeba spustit následující příkazy k instalaci požadovaných závislostí. Závislosti, které zde nainstalujete, nejsou ve výchozím nastavení nainstalovány. Musíte je nainstalovat ručně. Důvodem je to, že poskytují dodatečné funkce pro konkrétní program a nejsou vždy potřeba.
sudo apt install wget libio-socket-ssl-perl git perl iptables -y sudo apt install libnet-libidn-perl libcrypt-ssleay-perl -y sudo apt install libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip - y
Ukázkový výstup:
Instalace CSF Firewallu na Debian 11
Nyní, když máte nainstalované všechny požadované závislosti, můžete nainstalovat CSF v Debian Linuxu. Proces instalace je poměrně přímočarý, ale pojďme si ho projít krok za krokem.
Repozitáře Debianu standardně neobsahují balíček CSF. Aby CSF fungoval, musíte si balíček CSF stáhnout a nainstalovat ručně.
Po rozbalení archivu CSF budete mít novou složku s názvem csf. Adresář csf obsahuje všechny soubory a instalaci, kterou potřebujete k instalaci CSF na server Debian.
Spusťte příkaz ls -l a ověřte, zda byl vytvořen nový adresář.
ls -l
1. Spusťte příkaz wget http://download.configserver.com/csf.tgz pro stažení balíčku CSF do vašeho aktuálního pracovního adresáře.
wget http://download.configserver.com/csf.tgz
2. Jakmile budete mít stažený balíček, spusťte příkaz tar -xvzf csf.tgz pro rozbalení balíčku do vašeho aktuálního pracovního adresáře. tar je zkratka pro páskový archiv a je to metoda k vytvoření archivu souborů. x znamená extrahovat a v je pro podrobnou operaci. z je pro kompresi gzip, což znamená, že soubor je komprimován. f znamená název archivního souboru a v tomto případě je to csf.tgz.
tar -xvzf csf.tgz
Po rozbalení archivu CSF budete mít novou složku s názvem csf. Adresář csf obsahuje všechny soubory a instalaci, kterou potřebujete k instalaci CSF na server Debian.
3. Spusťte příkaz ls -l a ověřte, zda byl vytvořen nový adresář.
ls -l
4. Přejděte do adresáře csf a spusťte příkaz sudo bash install.sh pro instalaci CSF na váš systém.
install.sh je instalační skript, který automaticky stáhne nejnovější balíček CSF a nainstaluje jej do vašeho systému. Tento skript za vás udělá veškerou tvrdou práci související se stahováním, extrahováním a instalací požadovaných závislostí atd.
Instalační skript je spustitelný textový soubor, který automatizuje proces instalace programu nebo balíčku ve vašem systému. Skript obvykle zkontroluje, co potřebuje k instalaci, a poté to stáhne a nainstaluje do vašeho systému. To výrazně snižuje množství času, který strávíte instalací a konfigurací věcí, a také snižuje počet chyb souvisejících s ruční konfigurací věcí.
cd csf && sudo bash install.sh
Proces instalace trvá několik minut, takže počkejte, až skončí. Po dokončení instalace získáte následující výstup.
V tomto okamžiku jste správně nainstalovali CSF na svůj server Debian 10 Linux. Měli byste však zkontrolovat, zda jsou ve vašem systému dostupné moduly iptables. iptables se používají při vytváření pravidel CSF a firewallů.
5. Spusťte příkaz sudo perl /usr/local/csf/bin/csftest.pl a ověřte, zda jsou dostupné moduly iptables.
sudo perl /usr/local/csf/bin/csftest.pl
Pokud získáte výstup jako níže, pak můžete začít.
Konfigurace zásad brány firewall CSF
Nyní, když jste na svůj server Debian Linux nainstalovali CSF, je čas jej nakonfigurovat. V této části si projdeme, jak nakonfigurovat některé základní zásady brány firewall CSF.
Konfigurační soubor csf.conf se nachází v adresáři /etc/csf a používá se k definování zásad a pravidel brány firewall CSF.
1. Spuštěním příkazu sudo nano /etc/csf.conf se otevře konfigurační soubor csf.conf. To vám umožní upravovat a prohlížet obsah tohoto souboru
sudo nano /etc/csf/csf.conf
První věc, kterou budete muset udělat, je nakonfigurovat vaše otevřené porty. Otevřené porty jsou způsob, jakým definujete, jaké porty mohou vaši uživatelé použít k dosažení vašich backendů.
Přejděte dolů do části „Povolit příchozí“ a „Povolit odchozí“, abyste viděli všechny otevřené porty. Ve výchozím nastavení jsou otevřeny nejčastěji používané porty. Chcete-li povolit připojení přes ně, můžete otevřít další porty přidáním čísla portu ručně do seznamu otevřených portů.
Pamatujte však, že čím více otevřených portů máte, tím větší riziko budete mít. Nechcete, aby váš server byl sedící kachna pro padouchy. Proto mějte tyto otevřené porty vždy pod kontrolou a neotevřete jich příliš mnoho najednou.
2. Ve výchozím nastavení TESTOVÁNÍ je nastaveno na 1. Po dokončení testování byste toto měli změnit na 0,
Před
Po
3. ConnLimit CSF může také omezit počet příchozích spojení na konkrétní port na danou hodnotu. To je užitečné, pokud chcete omezit počet současných připojení k jednomu portu najednou.
Například 22;1;443;10 nastaví váš firewall tak, aby umožňoval pouze konkrétní připojení k portům 22 a 443 v daný čas. Tato hodnota omezuje počet současných příchozích připojení k portu 22 na pouze jedno současně a nastavuje limit deseti současných příchozích připojení k portu 443 najednou.
3. PORTFLOOD Direktiva se používá k určení počtu po sobě jdoucích pokusů o připojení z jedné IP adresy, které by měly být blokovány za časový interval. Například 22;tcp;3;3600 nastaví bránu firewall tak, aby blokovala připojení na 60 minut (3600 sekund), pokud jsou z jedné IP detekovány více než 3 po sobě jdoucí pokusy o připojení na portu 22. Blokovaná IP bude automaticky odblokována po uplynutí 3600 sekund.
4. Po dokončení uložte a zavřete konfigurační soubor csf.conf. Nyní můžete znovu načíst váš SF firewall, abyste použili změny.
sudo csf -r
Spusťte příkaz sudo csf -l a ověřte, zda byly některé z vašich změn synchronizovány s firewallem.
sudo csf -l
Závěr
V tomto článku jsme se naučili, jak nainstalovat a nakonfigurovat CSF na serveru Debian Linux. CSF je relativně nový nástroj brány firewall, který umožňuje snadno konfigurovat zásady a pravidla brány firewall. CSF nemusí být nejlepším řešením brány firewall, ale je to dobrý výchozí bod pro nového správce brány firewall systému Linux. Pokud máte nějaké dotazy nebo zpětnou vazbu, zanechte komentář.