GNU/Linux >> Znalost Linux >  >> Debian

Jak nakonfigurovat bránu firewall s CSF na Debianu 9

V tomto článku vám ukážeme, jak nainstalovat a nakonfigurovat CSF firewall na Debian 9 VPS, a projdeme si několik tipů, jak CSF používat.

ConfigServer Security &Firewall (CSF) je bezplatný a pokročilý nástroj pro správu firewallu založený na iptables. CSF poskytuje vysokou úroveň zabezpečení na vašem serveru a je velmi přímočarý, takže jej lze snadno nastavit a nainstalovat na všechny podporované distribuce Linuxu. Použijeme Debian 9, který patří mezi podporované distribuce Linuxu. CSF má mnoho skvělých funkcí, jako je skenování portů, záplavy SYN a útoky hrubou silou pro mnoho služeb, které vám mohou pomoci chránit váš server. Jednou z velmi příjemných funkcí na CSF je, že poskytuje vestavěné webové uživatelské rozhraní pro správu firewallu z webového prohlížeče. Tato integrace uživatelského rozhraní je podporována cPanel, DirectAdmin a také funguje nezávisle na vašem serveru.

Instalace CSF také přichází s další službou s názvem Login Failure Daemon (LFD). LFD je ve skutečnosti proces, který monitoruje soubory protokolu a odesílá e-mailová upozornění na základě pravidel konfigurace CSF. Začněme instalací.

Krok 1:Připojte se k serveru

Než začneme, musíte se připojit k serveru přes SSH jako uživatel root. Případně můžete použít uživatelský účet s právy sudo, pokud nemáte přístup k uživateli root. Chcete-li to provést, použijte následující příkaz:

ssh root@IP_Address -p Port_Number

samozřejmě budete muset nahradit IP_Address a Port_Number s vaší skutečnou IP adresou serveru a číslem portu SSH.

Po přihlášení se pomocí následujících příkazů ujistěte, že je váš server aktuální:

upgrade apt updateapt

Krok 2:Instalace CSF/LFD

Po úspěšné aktualizaci serveru můžete spustit následující příkazy pro změnu aktuálního adresáře na /opt, stáhnout nejnovější zdrojový kód CSF a rozbalit jej do stejného adresáře.

cd /opt/wget http://download.configserver.com/csf.tgztar xzf csf.tgz

Než budete pokračovat v instalaci, ujistěte se, že nepoužíváte jiný firewall, jako je UFW. Následující dva příkazy změní adresář na /opt/csf/ a spustí instalační skript.

cd /opt/csfsh install.sh

Instalace firewallu je dokončena, ale je nejlepší zkontrolovat, zda jsou k dispozici moduly iptables, které jsou nutné pro správnou funkci na CSF. Můžete to udělat pomocí příkazu:

perl /usr/local/csf/bin/csftest.pl

Výstup:

Testování ip_tables/iptable_filter...OKTesting ipt_LOG...OKTesting ipt_multiport/xt_multiport...OKTesting ipt_REJECT...OKTesting ipt_state/xt_state...OKTesting ipt_limit/xt_limit...OKTesting ipt_multiport/xt_multiport...OKTesting ipt_REJECT...OKTesting ipt_state/xt_state...OKTesting ipt_limit/xt_limit...OKTesting ipt_multiport/xt_recent... .OKTesting ipt_owner/xt_owner...OKTesting iptable_nat/ipt_REDIRECT...OKTesting iptable_nat/ipt_DNAT...OKRESULT:csf by měl na tomto serveru fungovat

Pokud při testování nebyly hlášeny žádné závažné chyby, bude CSF firewall fungovat správně.

Krok 3:Základní konfigurace

Pokud chcete nakonfigurovat CSF firewall, musíte upravit konfigurační soubor ‚csf.conf‘. V tomto tutoriálu použijeme nano jako náš editor, ale k úpravě konfiguračního souboru můžete volně použít svůj oblíbený editor.

nano /etc/csf/csf.conf

První věc, kterou musíme zkontrolovat v konfiguračních souborech, jsou otevřené porty na vašem serveru. Obvykle jsou ve výchozím nastavení nejběžněji používané porty již otevřené, ale někdy potřebujeme otevřít konkrétní port na serveru. Následující seznam obsahuje výchozí otevřené porty podle CSF:

# Povolit příchozí porty TCPTCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"# Povolit odchozí porty TCPTCP_OUT ="20,21,22,25,53,809#93,29com port" =U20,21,22,25,53,910,93,29com,089com 21,53"# Povolit odchozí porty UDP# Chcete-li povolit odchozí traceroute, přidejte 33434:33523 do tohoto seznamuUDP_OUT ="20,21,53,113,123"

Pokud některé z výchozích uvedených služeb na vašem serveru nepoužíváte, je nejlepším postupem je zavřít. Čím menší je přístup k portům na vašem serveru, tím lepší je zabezpečení vašeho serveru.

CSF nabízí mnoho různých možností v konfiguračních souborech. Budeme se ale zabývat pouze některými z nejčastěji používaných nastavení.

ICMP_IN – Tato možnost slouží ke kontrole dostupnosti vašeho serveru pomocí příkazu PING. Ve výchozím nastavení je toto nastavení nastaveno na 1, aby bylo možné povolit všechny příchozí požadavky PING. Pokud se rozhodnete tuto možnost zakázat, nebudete moci používat externí monitorovací systém.

IGNORE_ALLOW – Pokud povolíte tuto možnost, LFD bude ignorovat všechny IP adresy, které jsou uvedeny v csf.allow soubor. Tato možnost může být užitečná, pokud doma nebo v kanceláři používáte statickou IP adresu a můžete si být jisti, že tato IP adresa nebude nikdy blokována firewallem serveru.

SYNFLOOD , SUNFLOOD_RATE a SYNFLOOD_BURST – Tato možnost by měla být použita pouze v případě, že je váš server vystaven útoku SYN flood. Upozorňujeme, že se nedoporučuje zapínat tuto možnost, protože to výrazně zpomalí váš server a někteří návštěvníci mohou mít problém s připojením.

LF_ALERT_TO a LF_ALERT_FROM – Zde definujete e-mailové adresy, které chcete používat pro upozornění.

TESTOVÁNÍ – Ve výchozím nastavení je TESTOVÁNÍ nastaveno na 1. To znamená, že CSF povoluje úlohu CRON, která vymaže vaši konfiguraci iptables v případě problémů s konfigurací při spuštění CSF. Toto je preventivní opatření, které by vám mělo pomoci vyhnout se uzamčení vašeho serveru. Jakmile si budete zcela jisti, že jsou všechna nastavení v pořádku, můžete nastavit hodnotu na nulu, což povolí službu LFD.

Jakmile definujete všechna preferovaná nastavení, můžete uložit konfigurační soubor a restartovat a povolit služby CSF a LFD, což způsobí jejich automatické spouštění při startu.

systemctl restart csfsystemctl povolit csfsystemctl restart lfdsystemctl povolit lfd

Krok 4:Oznámení CSF/LFD

Jednou z mnoha možností CSF LFD jsou různá upozornění, která vám mohou pomoci sledovat události na vašem serveru. V této části článku vám ukážeme, jak aktivovat nebo deaktivovat některá z těchto oznámení.

Začneme výstrahami integrity systému, které kontrolují změny v určitých systémových souborech. Tato upozornění pomáhají odhalit kompromitované soubory, ale budete také dostávat e-maily, když budou provedeny změny s legitimními aktualizacemi systému.

Tyto typy oznámení můžete ponechat, pokud chcete sledovat změny provedené ve vašem systému. Pokud jste se rozhodli tato upozornění dostávat, můžete je deaktivovat vyhledáním LF_INTEGRITY parametr v souboru csf.conf a nastavte jeho hodnotu na 0, nebo můžete jednoduše spustit následující příkaz:

sed -i 's/LF_INTEGRITY ="3600"/LF_INTEGRITY ="0"/g' /etc/csf/csf.conf

Druhým typem upozornění, o kterém bychom chtěli mluvit, je upozornění na nadměrné využití zdrojů. Tyto typy oznámení jsou pravděpodobně nejběžnější. LFD má funkci, která může sledovat procesy běžící na vašem serveru a poslat vám e-maily, pokud využívají příliš mnoho zdrojů. Účelem těchto upozornění je sledovat nejintenzivnější procesy, které mohou způsobit problémy s načítáním na serveru. Pokud jste se rozhodli tato upozornění dostávat, můžete je deaktivovat vyhledáním PT_USERMEM a PT_USERTIME parametr v souboru csf.conf a nastavte jeho hodnotu na 0 nebo můžete jednoduše spustit následující příkazy:

sed -i 's/PT_USERTIME ="1800"/PT_USERTIME ="0"/g' /etc/csf/csf.confsed -i 's/PT_USERMEM ="512"/PT_USERMEM ="0"/g' /etc/csf/csf.conf

Možnost Sledování procesů prověřuje podezřelé spustitelné soubory nebo otevřené síťové porty na vašem serveru. Tato upozornění pomáhají odhalit potenciálně zneužitelné procesy, i když se tyto procesy jeví jako systémové služby. Pokud jste se rozhodli tato upozornění nedostávat, můžete je deaktivovat vyhledáním PT_LIMIT parametr v souboru csf.conf a nastavte jeho hodnotu na 0 nebo můžete jednoduše spustit následující příkaz SSH:

sed -i 's/PT_LIMIT ="60"/PT_LIMIT ="0"/g' /etc/csf/csf.conf

Posledním typem upozornění, kterým se budeme v tomto článku zabývat, jsou upozornění na blokování IP.

CSF/LFD má pravomoc blokovat IP adresy z určitých důvodů. Pokaždé, když systém zablokuje IP adresu, budete upozorněni e-mailem obsahujícím IP adresu, která byla zablokována, a důvod, proč byla zablokována. Pokud chcete spravovat tyto typy oznámení, můžete otevřít soubor csf.conf a najít následující možnosti:

LF_EMAIL_ALERT – Odeslat e-mailové upozornění, pokud je IP adresa blokována jedním z [*] spouštěčů

LF_PERMBLOCK_ALERT – Pokud byla IP adresa zablokována více než několikrát (pro konfiguraci použijte LF_PERMBLOCK_COUNT ), pak tato možnost odešle e-mailové upozornění, když je IP adresa trvale zablokována.

LF_NETBLOCK_ALERT – Pokud byla třída sítě IP zablokována, obdržíte upozornění e-mailem.

LF_DISTFTP_ALERT – Pokud LF_DISTFTP se spustí, obdržíte e-mailové upozornění s IP adresami, které byly zablokovány, s důvodem zapojení do FTP distribuovaného útoku.

LF_DISTSMTP_ALERT – Pokud LF_DISTSMTP se spustí, obdržíte e-mailové upozornění s IP adresami, které byly zablokovány, s důvodem zapojení do distribuovaného útoku SMTP.

LT_EMAIL_ALERT – Pokud účet překročí počet denních přihlášení na IP adresu, obdržíte e-mailové upozornění.

CT_EMAIL_ALERT – Pokud je IP adresa zablokována kvůli sledování připojení, obdržíte upozornění e-mailem. Tyto typy e-mailových upozornění jsou spouštěny CT_LIMIT Vlastnosti. CT_LIMIT Tato možnost je určena k ochraně vašeho serveru před útoky DOS.

Pokud se rozhodnete tato upozornění nedostávat, můžete je vypnout tak, že je najdete v souboru csf.conf a nastavíte jejich hodnoty na 0, nebo můžete jednoduše spustit následující příkazy:

sed -i 's/LF_EMAIL_ALERT ="1"/LF_EMAIL_ALERT ="0"/g' /etc/csf/csf.confsed -i 's/LF_PERMBLOCK_ALERT ="1"/LF_PERMBLOCK_ALERT ="0"/g' /etc/csf/csf.confsed -i 's/LF_NETBLOCK_ALERT ="1"/LF_NETBLOCK_ALERT ="0"/g' /etc/csf/csf.confsed -i 's/LF_DISTFTP_ALERT ="1"/LF_DISTFTP_ALERT ="0 "/g' /etc/csf/csf.confsed -i 's/LF_DISTSMTP_ALERT ="1"/LF_DISTSMTP_ALERT ="0"/g' /etc/csf/csf.confsed -i 's/LT_EMAIL_ALERT ="1"/ LT_EMAIL_ALERT ="0"/g' /etc/csf/csf.confsed -i 's/CT_EMAIL_ALERT ="1"/CT_EMAIL_ALERT ="0"/g' /etc/csf/csf.conf

Po provedení změn je třeba restartovat CSF a LFD pomocí následujících příkazů systemctl:

systemctl restart csf systemctl restart lfd

Krok 5:Správa CSF z příkazového řádku

CSF můžete spravovat z příkazového řádku nebo prostřednictvím vestavěného webového uživatelského rozhraní. V této části tutoriálu vytvoříme krátký seznam užitečných příkazů, které vám mohou pomoci spravovat CSF z příkazového řádku.

Start, Stop a Restart/Reload CSF:

csf -s :Spustit csf
csf -f :Zastavit csf
csf -r :Znovu načíst/restartovat csf

Povolit IP a přidat ji do csf.allow (přidat IP adresu na seznam povolených):

csf -a 123.45.67.89

Výstup:

Přidání 123.45.67.89 do csf.allow a iptables ACCEPT...ACCEPT all opt -- in !lo out * 123.45.67.89 -> 0.0.0.0/0 ACCEPT all opt -- in * out !lo 0.0.0.0 /0 -> 123.45.67.89

Odebrat a odstranit IP z csf.allow:

csf -ar 123.45.67.89

Výstup:

Odebírání pravidla...PŘIJMOUT všechny přihlášení -- in !lo out * 123.45.67.89 -> 0.0.0.0/0 PŘIJÍMAT všechny přihlášení -- in * out !lo 0.0.0.0/0 -> 123.45.67.89 

 Odepřít IP a přidat do csf.deny (na černou listinu IP):
 
csf -d 123.45.67.89
 

 Výstup:
 
Přidání 123.45.67.89 do csf.deny a iptables DROP...DROP all opt -- in !lo out * 123.45.67.89 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0 /0 -> 123.45.67.89
 

 Odebrat a odstranit IP z csf.deny (Odblokovat IP adresu):
 
csf -dr 123.45.67.89
 

 Výstup:
 
Odebírání pravidla...ZRUŠENÍ všech přihlášení -- in !lo out * 123.45.67.89 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 123.45.67.89 

 Odebrat a odblokovat všechny IP adresy z csf.deny:
 
csf -df
 

 Výstup:
 
DROP all opt -- in !lo out * 123.45.67.88 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 123.45.67.88 DROP all opt -- in ! lo out * 123.45.67.89 -> 0.0.0.0/0 LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 123.45.67.89 csf:všechny položky odstraněny z csf.deny
 

 Vyhledejte shodu se vzorem v iptables, např.:IP, CIDR, číslo portu:
 
csf -g 123.45.67.89
 

 Výstup:
 
Table Chain num pkts bytes target prot opt ​​in out source destinationfilter DENYIN 1 0 0 DROP all -- !lo * 123.45.67.89 0.0.0.0/0filter DENYOUT 1 0 0 LOGDROPOUT all -- * !lo 0.0.0.0/0 123.45.67.89
 

 Zobrazí aktuální seznam dočasných povolených a zamítnutých IP položek s jejich TTL a komentářem:
 
csf -t
 

 Zkontrolujte aktualizace csf a upgradujte, pokud jsou k dispozici:
 
csf -u
 

 Úplně deaktivujte CSF a LFD:
 
csf -x
 

 Povolit CSF a LFD, pokud byly dříve zakázány:
 
csf -e
 

 Zobrazit verzi CSF:
 
csf -v
 

 Výstup:
 
csf:v13.04 (obecné)
 

 Pro více možností můžete zkontrolovat následující příkaz:
 
csf -h
 
Krok 6:Povolte webové uživatelské rozhraní brány CSF Firewall
 

 V tomto kroku vám ukážeme, jak povolit webové uživatelské rozhraní CSF. Tento krok je volitelný a měl by být použit pouze v případě, že nepoužíváte ovládací panel, který podporuje uživatelské rozhraní CSF (např. WHM/cPanel, DirectAdmin, Webmin atd.)
 

 CSF UI vyžaduje instalaci několika modulů Perl na váš server. Tyto požadavky můžete splnit instalací modulů Perl pomocí následujícího příkazu:
 
apt install libio-socket-ssl-perl libcrypt-ssleay-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl
 

 Dále je třeba povolit webové uživatelské rozhraní CSF. Webové rozhraní CSF můžete povolit úpravou souboru csf.conf:
 
nano /etc/csf/csf.conf
 

 a aktualizujte následující hodnoty:
 
# 1 pro povolení, 0 pro zakázání webového uživatelského rozhraní UI ="1"# Nastavení portu pro webové uživatelské rozhraní. Výchozí port je 6666, ale # jsem to změnil na 7171 pro snadný přístup. Výchozí port vytváří nějaký problém# s prohlížeči Chrome a firefox (v mém případě)UI_PORT ="7171"# Ponechte prázdné, chcete-li se svázat se všemi IP adresami na serveru UI_IP =""# Nastavit uživatelské jméno pro autentizaci UI_USER ="admin"# Nastavte silné heslo pro ověřování UI_PASS ="Str0n9_PasSw0rD"
 

 Neváhejte změnit hodnoty našeho příkladu vhodnými hodnotami. Jakmile provedete a uložíte změny, můžete přidat svou veřejnou IP adresu na seznam povolených úpravou konfiguračního souboru ui.allow.
 

 Nahraďte „Your_Public_IP_Address ‘ s vaší skutečnou IP adresou a spusťte příkaz:
 
sudo echo "Vaše_veřejná_IP_adresa">> /etc/csf/ui/ui.allow
 

 Chcete-li použít provedené změny, musíte restartovat službu LFD. Restartujte démona LFD na vašem serveru pomocí následujícího příkazu:
 
restart služby sudo lfd
 

 Nyní byste měli mít přístup k uživatelskému rozhraní CSF ve vašem prohlížeči pomocí adresy IP serveru a konkrétního portu, který jste použili v souboru csf.conf. V našem příkladu jsme použili port 7171.
 

 https://Your_Public_IP_Address:7171 
 

 Po úspěšném přihlášení byste měli být schopni zobrazit uživatelské rozhraní CSF.
 

 
 

 Rychlé povolení, rychlé odmítnutí nebo rychlé odblokování mohou být velmi užitečné možnosti z uživatelského rozhraní CSF.
 

 V tomto článku jsme vám ukázali, jak nainstalovat a nakonfigurovat firewall s CSF na Debianu 9, a také krátce přejít pomocí CSF. Nyní můžete využít znalostí z této příručky a začít vytvářet vlastní pravidla brány firewall CSF, která vám pomohou chránit váš server.
 

 Samozřejmě, pokud jste jedním z našich zákazníků Debian Hosting, nemusíte na svém serveru konfigurovat firewall s CSF – jednoduše se zeptejte našich administrátorů, posaďte se a relaxujte. Naši administrátoři za vás okamžitě nakonfigurují pravidla brány firewall na vašem serveru.
 

 PS. Pokud se vám tento příspěvek o tom, jak nakonfigurovat bránu firewall s CSF na Debianu 9, líbil, sdílejte jej se svými přáteli na sociálních sítích pomocí níže uvedených tlačítek pro sdílení nebo jednoduše zanechte komentář v sekci komentářů. Děkuji.
Debian

  1. Jak nainstalovat Config Server Firewall (CSF) na Debian 11

  2. Jak nakonfigurovat bránu firewall s UFW na Debianu 9

  3. Jak nainstalovat a nakonfigurovat CSF Firewall na Debianu 11

  1. Jak nastavit firewall s UFW na Debianu 10

  2. Jak nastavit firewall s UFW na Debianu 9

  3. Jak nainstalovat a nakonfigurovat VNC na Debian 9

  1. Jak nastavit FTP server s VSFTPD na Debianu 9

  2. Jak nakonfigurovat SFTP server s Chrootem v Debianu 10

  3. Jak nastavit poštovní server pomocí PostfixAdmin na Debianu 11