V tomto článku vysvětlíme nezbytné kroky ke konfiguraci firewallu CSF na Debianu 10. Než budete pokračovat v tomto tutoriálu, ujistěte se, že jste přihlášeni jako uživatel s sudo privilegia. Všechny příkazy v tomto tutoriálu by měly být spouštěny jako uživatel bez oprávnění root.
Config Server Firewall (CSF) je firewall s otevřeným zdrojovým kódem, který lze použít ve většině operačních systémů založených na Linuxu k ochraně serverů před neověřenými uživateli. CSF nepřetržitě monitoruje soubor protokolu serveru a upozorňuje na selhání ověřování přihlášení pomocí SSH, SMTP, HTTP, IMAP, POP3 a FTP a mnoho protokolů. Tento firewall vám umožňuje ručně nebo dočasně nebo trvale zablokovat a odblokovat konkrétní IP adresy.
Nakonfigurujte Firewall CSF na Debianu 10
Krok 1. První příkaz aktualizuje seznamy balíčků, aby bylo zajištěno, že získáte nejnovější verzi a závislosti.
sudo apt update sudo apt upgrade
Krok 2. Nainstalujte CSF Firewall.
Nejprve si stáhněte nejnovější verzi zdroje CSF z jejich oficiálních stránek. Můžete si jej stáhnout pomocí následujícího příkazu:
cd /tmp wget http://download.configserver.com/csf.tgz tar xzf csf.tgz
Spusťte instalační skript CSF:
cd /opt/csf sh install.sh
Krok 3. Otestujte moduly iptables.
Spusťte perl skript csftest.pl a ověřte, zda jsou ve vašem systému nainstalovány všechny požadované moduly iptables:
perl /usr/local/csf/bin/csftest.pl
Testing ip_tables/iptable_filter...OK Testing ipt_LOG...OK Testing ipt_multiport/xt_multiport...OK Testing ipt_REJECT...OK Testing ipt_state/xt_state...OK Testing ipt_limit/xt_limit...OK Testing ipt_recent...OK Testing xt_connlimit...OK Testing ipt_owner/xt_owner...OK Testing iptable_nat/ipt_REDIRECT...OK Testing iptable_nat/ipt_DNAT...OK RESULT: csf should function on this server
Krok 4. Konfigurace CSF.
Výchozí konfigurační soubor CSF se nachází v /etc/csf adresář. Požadované parametry pro CSF můžete nakonfigurovat pomocí následujícího příkazu:
nano /etc/csf/csf.conf
#For testing environment the value should be TESTING = "1" and for production environment, the value should be TESTING = "0". TESTING = "0" #To enable log RESTRICT_SYSLOG = "3" # Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" # Allow incoming UDP ports UDP_IN = "20,21,53" # Allow outgoing UDP ports # To allow outgoing traceroute add 33434:33523 to this list UDP_OUT = "20,21,53,113,123"
Po dokončení soubor uložte a zavřete. Poté spusťte CSF firewall pomocí následujícího příkazu:
sudo systemctl restart csf sudo systemctl enable csf
Krok 5. Nakonfigurujte webové rozhraní CSF.
V tomto kroku vám ukážeme, jak povolit webové uživatelské rozhraní CSF. Tento krok je volitelný a měl by být použit pouze v případě, že nepoužíváte ovládací panel, který podporuje uživatelské rozhraní CSF (např. WHM/cPanel, DirectAdmin, Webmin atd.)
apt install libio-socket-ssl-perl libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl libcrypt-ssleay-perl
Po instalaci všech modulů budete muset povolit webové uživatelské rozhraní CSF:
nano /etc/csf/csf.conf
RESTRICT_UI = "1" UI = "1" UI_PORT = "8080" UI_IP = "" UI_USER = "ngadimin" UI_PASS = "[email protected]" # For security reasons, you should always keep this option low (i.e 0-10) UI_RETRY = "5" #This option will add the connecting IP address to the file /etc/csf/ui/ui.ban after UI_RETRY login failures. UI_BAN = "1" #Only IPs (or CIDR's) listed in the file /etc/csf/ui/ui.allow will be allowed to login to the UI."
Potom povolte přístup ke své IP adrese pomocí následujícího příkazu:
nano /etc/csf/ui/ui.allow
Přidejte následující řádek:
192.168.0.10
Uložte a zavřete soubor. Potom restartujte službu LFD, abyste použili tyto změny:
service lfd restart
Krok 6. Přístup k uživatelskému rozhraní CSF.
Nyní otevřete webový prohlížeč a zadejte adresu URL http://192.168.0.10:8080.
Blahopřejeme, naučili jste se nainstalovat a nakonfigurovat Firewall CSF na Debian 10 Buster. Pokud máte nějaké dotazy, zanechte prosím níže komentář.