CSF je zkratka pro ConfigServer Security a Firewall je jedna z nejužitečnějších Open Source bezpečnostních aplikací pro linuxové operační systémy, která se používá jako Packet Inspection Firewall, přihlášení a detekce narušení pro linuxové servery. Použití CSF pomáhá chránit servery před mnoha bezpečnostními útoky, jako je útok hrubou silou. Dodává se se službou nazvanou (LFD) Login Failure Daemon, která zabraňuje neoprávněnému přístupu k síťovým démonům tím, že sleduje vaši aktivitu uživatele, zda nedochází k nadměrným chybám přihlášení, na které chceme omezit přístup podle IP adresy, což pomáhá zabránit přístupu ke kompromitovaným síťovým démonům. Takže kdykoli dojde k velkému počtu chybných pokusů z konkrétní IP adresy, bude tato IP okamžitě dočasně zablokována ze všech služeb na serveru.
ConfigServer Security &Firewall přichází s mnoha funkcemi, které poskytují upozornění na přihlášení SSH, nadměrné blokování připojení, selhání mod_security, hlášení podezřelých procesů a mnoho dalších.
1) Předpoklady
CSF lze nainstalovat na jakoukoli distribuci Linuxu, ale v tomto tutoriálu jej nainstalujeme a nakonfigurujeme pomocí CentOS 7.1.
Přihlaste se ke svému serveru Centos 7 pomocí uživatele root a ujistěte se, že jste připojeni k internetu, abyste mohli aktualizovat svůj systém nejnovějšími aktualizacemi a instalovat požadované závislé balíčky pro CSF.
Po přihlášení spusťte níže uvedený příkaz pro aktualizaci systému.
# yum update
Poté pro instalaci perlových modulů, které jsou nutné pro nastavení csf na Centos 7, spusťte níže uvedený příkaz.
# yum -y install perl perl-libwww-perl perl-LWP-Protocol-https perl-GDGraph wget unzip net-tools
2) Stáhněte si instalační balíček CSF
Chcete-li stáhnout balíček ConfigServer Security &Firewall, spusťte níže uvedený příkaz v adresáři /usr/src/, jak je znázorněno.
# wget https://download.configserver.com/csf.tgz
Po stažení archivovaného balíčku spusťte následující příkaz a extrahujte jej ze stejného adresáře.
# tar -xzf csf.tgz
Nyní změňte adresář na extrahovanou složku a použijte příkaz list k zobrazení jeho vnitřní konfigurace a instalačních skriptů, jak je znázorněno.
3) Instalace ConfigServer Security Firewall
Chcete-li zahájit instalaci CSF na CentOS 7, spustíme instalační skript, který se nachází ve stejném adresáři jako výše.
Spusťte níže uvedený příkaz, jak je znázorněno.
# sh install.sh
Instalační skript zkontroluje své základní moduly perl a root přístup, poté vytvoří několik adresářů a zkompiluje různé konfigurační soubory a knihovny během procesu instalace, jak je uvedeno níže.
*** USE_CONNTRACK Enabled
*** IPV6 Enabled
*** IPV6_SPI set to 1
TCP ports currently listening for incoming connections:
22,5432
UDP ports currently listening for incoming connections:
5353,43539
Note: The port details above are for information only, csf hasn't been auto-configured.
Don't forget to:
1. Configure the following options in the csf configuration to suite your server: TCP_*, UDP_*
2. Restart csf and lfd
3. Set TESTING to 0 once you're happy with the firewall, lfd will not run until you do so
Adding current SSH session IP address to the csf whitelist in csf.allow:
Adding 172.xx.xx.xx to csf.allow only while in TESTING mode (not iptables ACCEPT)
*WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
‘lfd.service’ -> ‘/usr/lib/systemd/system/lfd.service’
‘csf.service’ -> ‘/usr/lib/systemd/system/csf.service’
ln -s '/usr/lib/systemd/system/csf.service' '/etc/systemd/system/multi-user.target.wants/csf.service'
ln -s '/usr/lib/systemd/system/lfd.service' '/etc/systemd/system/multi-user.target.wants/lfd.service'
‘/etc/csf/csfwebmin.tgz’ -> ‘/usr/local/csf/csfwebmin.tgz’
Installation Completed
Vidíme, že před dokončením procesu instalace csf automaticky nakonfiguruje již naslouchající porty včetně portu SSH při instalaci a poté při instalaci automaticky přidá připojenou IP adresu, kde je to možné.
4) Testování modulů CSF IPTable
Po dokončení procesu instalace spusťte níže uvedený příkaz a otestujte stav požadovaných modulů iptables.
# perl /usr/local/csf/bin/csftest.pl
5) Konfigurace a použití CSF
Chcete-li nakonfigurovat bránu CSF Firewall na CentOS 7 a dalších distribucích založených na Red Hat Enterprise Linux (RHEL), výchozí konfigurační soubor lze nalézt v umístění "/etc/csf/"
Konfigurační soubory obsahují následující počet souborů, jak je znázorněno na obrázku.
Chcete-li povolit plně funkční CSF firewall, nakonfigurujte výchozí konfigurační soubor csf s následujícími parametry.
[root@centos-7 csf]# vim csf.conf
TESTING = "0"
:wq!
Nyní určíme e-mailovou adresu pro hlášení chyb z démona selhání přihlášení provedením následujících změn konfigurace.
Po provedení změn konfigurace musíme znovu načíst služby csf pomocí níže uvedeného příkazu, aby se změny konfigurace projevily.
# csf -r
Pokud chcete zkontrolovat stav služby csf, spusťte níže uvedený příkaz.
# service csf status
Spusťte následující příkaz pro úplný přehled všech možností příkazového řádku, které používáte can s csf.
# csf --help
Závěr
V tomto článku jsme se dozvěděli o instalaci, konfiguraci a používání ConfigServer Security and Firewall, což je jeden z nejrozšířenějších open source nástrojů volně dostupných pro instalaci na linuxové platformy. Pomocí tohoto nástroje můžeme zabezpečit naše servery před mnoha hrozbami pomocí jeho jednoduchých konfigurací a příkazů. Jeho instalační proces je velmi jednoduchý a snadno se používá, proto mnoho organizací dává přednost použití tohoto nástroje. Můžeme jej také používat a spravovat z grafického uživatelského rozhraní, ke kterému lze přistupovat po instalaci nástroje webmin pomocí jeho dostupných zásuvných modulů.