Jedna z prvních věcí, kterou byste měli udělat po instalaci CentOS 7, je nakonfigurovat slušný firewall. Normální firewall, který je předinstalován na CentOS, se nazývá iptables – a přestože je to velmi důkladné řešení, je obvykle zaměřeno na zkušenější uživatele a kvůli jeho strmější křivce učení se může zdát neintuitivní začít. To je důvod, proč doporučujeme řešení třetí strany s názvem ConfigServer Security &Firewall (CSF). Je to zdarma, s otevřeným zdrojovým kódem a je to jeden z nejlepších způsobů, jak spravovat potřeby firewallu v CentOS.
V tomto tutoriálu se podíváme do hloubky, jak instalovat, konfigurovat a blokovat porty pomocí CSF. Tento tutoriál se zaměřuje na instalaci CSF na CentOS 7 VPS.
Krok 1:Kontrola předběžných požadavků
Balíček CSF se v některých funkcích spoléhá na Perl. Nejprve se tedy musíme ujistit, že je Perl nainstalován spuštěním následujícího příkazu:
yum list installed perl
Pokud je nainstalován Perl, měli byste vidět něco takového:
Pokud není nainstalován, můžete jej nainstalovat zadáním:
sudo yum install perl
A máte hotovo. Nyní můžeme pokračovat v instalaci CSF.
Krok 2:Stažení, rozbalení a instalace CSF
Pomocí našeho příkazu níže můžete přímo stáhnout a extrahovat nejnovější verzi CFS pomocí jejich aktuálního přímého odkazu ke stažení. Pokud se odkaz změní, navštivte webovou stránku CFS, kde najdete nejnovější odkaz ke stažení CSF. Měli byste to najít zde, takto:
Zkopírujte odkaz. Nyní to můžeme stáhnout a extrahovat vše najednou, takto:
wget -qO- https://download.configserver.com/csf.tgz | tar xvz
Tím se vytvoří nová složka s názvem „csf“. Přejděte do něj:
cd csf
A nainstalujte balíček:
sudo sh install.sh
Instalace by měla být rychle dokončena. Nyní můžeme aktivovat skript, který nám říká, že CSF je připraven k instalaci. Zkontroluje nastavení našeho systému a řekne nám, zda je vše v pořádku:
perl /usr/local/csf/bin/csftest.pl
Pokud vše půjde dobře, měli byste získat výstup takto:
To znamená, že CSF je připraven ke spuštění ve vašem systému.
Krok 3:Ujistěte se, že se nezamykáte
Za prvé – před aktivací jakéhokoli řešení brány firewall se musíte ujistit o dvou věcech:
- Váš port SSH je otevřený
- Vaše IP adresa je na seznamu povolených
Poznámka: Bez těchto dvou klíčových faktorů riskujete uzamčení vašeho vlastního serveru! CSF je dostatečně chytrý na to, aby oba automaticky přidal na seznam povolených. I když používáte vlastní port SSH, CSF jej přidá do seznamu povolených portů. I přes tuto dodatečnou ochranu je však vždy dobré si to ověřit.
Chcete-li to provést, otevřete konfigurační soubor CSF /etc/csf/csf.conf ve vašem preferovaném textovém editoru. Například:
nano /etc/csf/csf.conf
Nyní přejděte dolů na řádek s názvem „TCP_IN“. Toto je čárkami oddělený seznam portů, ke kterým je povolen přístup. Většina běžných je již na seznamu povolených, jako jsou ty pro HTTP a HTTPS. Pamatujte však, že poslední port je „7022“:
„7022“ je vlastní port SSH nastavený na tomto serveru. CSF tedy udělal svou práci a automaticky jej přidal do seznamu povolených portů.
CSF také obsahuje přihlašovacího démona, který hlídá opakované pokusy o infiltraci vašeho serveru. Služba se nazývá lfd a měli bychom to povolit nastavením proměnné „TESTING“ na „0“ v konfiguračním souboru CSF, takto:
Uložte změny a CSF je nyní nakonfigurován a připraven ke spuštění.
Krok 4:Povolení CSF
Chcete-li spustit CSF a umožnit mu, aby fungoval, musíme použít následující příkaz:
systemctl start csf
A stav můžeme otestovat takto:
systemctl status csf
Což nám dává následující výstup:
Teď to ověříme.
Krok 5:Ověření, zda je port otevřený/zavřený
Nejnovější verze Windows je dodávána s PowerShell. Můžete jej použít k testování, zda je port otevřený na vzdáleném hostiteli. Řekněme tedy, že chceme ověřit číslo portu 7022 (SSH na tomto serveru), můžeme to udělat takto:
Test-NetConnection -ComputerName 206.196.115.159 -Port 7022
(Nezapomeňte nahradit IP adresu adresou, která je přiřazena vašemu serveru)
Tento příkaz by měl končit zprávou „úspěch“ nebo „selhání“, jako je tato:
Pomocí toho můžete ověřit, zda CSF funguje tak, jak má. Zkontrolujte několik portů a přidejte některé nové do proměnné „TCP_IN“ v konfiguračním souboru CSF, abyste zjistili, zda vše funguje, jak má.
Pokud ano, tak gratuluji! Úspěšně jste nastavili CSF na svém CentOS VPS.
Samozřejmě, pokud jste jedním z našich zákazníků CentOS Hosting, nemusíte na svůj CentOS 7 VPS instalovat CSF – jednoduše se zeptejte našich administrátorů, posaďte se a relaxujte. Naši administrátoři vám okamžitě nainstalují CSF na CentOS 7.
PS. Pokud se vám líbil tento příspěvek o tom, jak nainstalovat CSF na CentOS 7 VPS, sdílejte jej se svými přáteli na sociálních sítích pomocí tlačítek níže nebo jednoduše zanechte komentář v sekci komentářů. Děkuji.