Config Server Firewall / CSF je sada firewallových aplikací pro servery Linux. CSF je také detekce přihlášení/narušení pro aplikace jako SSH, SMTP, IMAP, Pop3, příkaz "su" a mnoho dalších. CSF může např. detekuje, když se někdo přihlašuje na server přes SSH, a upozorní vás, když se tento uživatel pokusí použít příkaz "su" na serveru k získání vyšších oprávnění. Kontroluje také selhání autentizace přihlášení na poštovních serverech (Exim, IMAP, Dovecot, uw-imap, Kerio), serverech OpenSSH, FTP serverech (Pure-ftpd, vsftpd, Proftpd), serveru cPanel a nahrazuje software jako fail2ban. CSF je dobré bezpečnostní řešení pro hostování serverů a lze jej integrovat do uživatelského rozhraní (UI) WHM/cPanel, DirectAdmin a Webmin.
Předpoklady
- CentOS 7 (můj server používá IP 192.168.1.101).
- práva root.
Co budeme dělat v tomto tutoriálu:
- Nainstalujte závislosti pro CSF.
- Nainstalujte CSF.
- Nakonfigurujte CSF.
- Základní příkazy CSF.
- Pokročilá konfigurace.
Krok 1 – Instalace závislostí CFS
CSF je založen naPerlu, takže musíte nejprve nainstalovat Perl na náš server. Potřebujete wget stáhnout instalační program CSF a vim (nebo editor dle vašeho výběru) pro úpravu konfiguračního souboru CSF. Nainstalujte balíčky pomocí příkazu yum:
yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes
Krok 2 – Instalace CSF
Přejděte prosím na "/usr/src/" adresář a stáhněte CSF pomocí příkazu wget.
cd /usr/src/
wget https://download.configserver.com/csf.tgz
Rozbalte soubor tar.gz a přejděte do adresáře csf, poté jej nainstalujte:
tar -xzf csf.tgz
cd csf
sh install.sh
Na konci byste měli obdržet informaci, že instalace CSF je dokončena.
Nyní byste měli zkontrolovat, zda CSG na tomto serveru skutečně funguje. Přejděte na "/usr/local/csf/bin/" adresář a spusťte "csftest.pl" .
cd /usr/local/csf/bin/
perl csftest.pl
Pokud vidíte výsledky testu, jak je uvedeno níže, pak CSF na vašem serveru běží bez problémů:
RESULT: csf should function on this server
Krok 3 – Konfigurace CSF na CentOS 7
Než vstoupíte do procesu konfigurace CSF, první věc, kterou musíte vědět, je, že „CentOS 7“ má výchozí aplikaci brány firewall s názvem „firewalld“. Musíte zastavit firewalld a odstranit jej ze spouštění.
Zastavte firewall:
systemctl stop firewalld
Zakázat/odebrat firewalld ze spouštění:
systemctl disable firewalld
Poté přejděte do adresáře konfigurace CSF "/etc/csf/" a upravte soubor "csf.conf" pomocí editoru vim:
cd /etc/csf/
vim csf.conf
Změňte řádek 11 "TESTOVÁNÍ " na "0" pro použití konfigurace brány firewall.
TESTING = "0"
Ve výchozím nastavení CSF umožňuje příchozí a odchozí provoz pro standardní port SSH 22, pokud používáte jiný port SSH, přidejte svůj port do konfigurace v řádku 139 TCP_IN .
Nyní spusťte CSF a LFD příkazem systemctl:
systemctl start csf
systemctl start lfd
A pak povolte spouštění služeb csf a lfd při spouštění:
systemctl enable csf
systemctl enable lfd
Nyní můžete vidět seznam výchozích pravidel CSF pomocí příkazu:
csf -l
Krok 4 – Základní příkazy CSF
1. Spusťte bránu firewall (povolte pravidla brány firewall):
csf -s
2. Vyprázdnit/zastavit pravidla brány firewall.
csf -f
3. Znovu načtěte pravidla brány firewall.
csf -r
4. Povolte IP a přidejte ji do csf.allow.
csf -a 192.168.1.109
Výsledky:
Adding 192.168.1.109 to csf.allow and iptables ACCEPT...
ACCEPT all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0
ACCEPT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
5. Odeberte a odstraňte IP z csf.allow.
csf -ar 192.168.1.109
Výsledky:
Removing rule...
ACCEPT all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0
ACCEPT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
6. Odepřete IP a přidejte do csf.deny:
csf -d 192.168.1.109
Výsledky:
Adding 192.168.1.109 to csf.deny and iptables DROP...
DROP all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0
LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
7. Odeberte a odstraňte IP z csf.deny.
csf -dr 192.168.1.109
Výsledky:
Removing rule...
DROP all opt -- in !lo out * 192.168.1.109 -> 0.0.0.0/0
LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.109
8. Odeberte a odblokujte všechny položky z csf.deny.
csf -df
Výsledky:
DROP all opt -- in !lo out * 192.168.1.110 -> 0.0.0.0/0
LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.110
DROP all opt -- in !lo out * 192.168.1.111 -> 0.0.0.0/0
LOGDROPOUT all opt -- in * out !lo 0.0.0.0/0 -> 192.168.1.111
csf: all entries removed from csf.deny
9. Vyhledejte shodu se vzorem na iptables, např.:IP, CIDR, číslo portu
csf -g 192.168.1.110
Krok 5 – Pokročilá konfigurace
Zde je několik vylepšení o CSF, takže si je můžete nakonfigurovat, jak potřebujete.
Vraťte se do konfiguračního adresáře csf a upravte konfigurační soubor csf.conf:
cd /etc/csf/
vim csf.conf
1. Neblokujte IP adresy, které jsou v souborech csf.allow.
Ve výchozím nastavení lfd také blokuje IP pod soubory csf.allow, takže pokud chcete, aby IP v souborech csf.allow nikdy nebyla blokována lfd, přejděte prosím na řádek 272 a změňte "IGNORE_ALLOW" na "1" . To je užitečné, když máte doma nebo v kanceláři statickou IP a chcete mít jistotu, že vaše IP nebude nikdy blokováno firewallem na vašem internetovém serveru.
IGNORE_ALLOW = "1"
2. Povolte příchozí a odchozí ICMP.
Přejděte na linku 152 pro příchozí ping/ICMP:
ICMP_IN = "1"
A řádek 159 pro odchozí ping/ICMP:
ICMP_OUT = "1"
3. Blokovat určité země
CSF poskytuje možnost povolit a zakázat přístup podle země pomocí CIDR (Kód země). Přejděte na linku 836 a přidejte kódy zemí, které budou povoleny a zakázány:
CC_DENY = "CN,UK,US"
CC_ALLOW = "ID,MY,DE"
4. Odešlete protokol přihlášení Su a SSH e-mailem.
Můžete nastavit e-mailovou adresu, kterou LFD používá k odeslání e-mailu o "Přihlášení SSH" události a uživatelé, kteří spouštějí "su" přejděte na řádek 1069 a změňte hodnotu na "1".
LF_SSH_EMAIL_ALERT = "1"
...
LF_SU_EMAIL_ALERT = "1"
A pak definujte e-mailovou adresu, kterou chcete použít v řádku 588 .
LF_ALERT_TO = "[email protected]"
Pokud chcete další vylepšení, přečtěte si možnosti v "/etc/csf/csf.conf" konfigurační soubor.
Závěr
CSF je aplikační firewall pro iptables poskytovaný pro servery Linux. CSF má mnoho funkcí a může podporovat webové nástroje pro správu, jako je cPanel / WHM, DirectAdmin a Webmin. CSF se snadno instaluje a používá na serveru a správcům systému usnadňuje správu zabezpečení.