Nainstalujte a nakonfigurujte CSF (Config Server Firewall) a zabezpečte svůj Debian 11.
CSF je oblíbený bezpečnostní nástroj pro Linux k zabezpečení serveru pomocí stavového firewallu pro kontrolu paketů (SPI), detekce narušení, démona selhání přihlášení, ochrany DDOS a integrace ovládacího panelu.
V této příručce se naučíte, jak nainstalovat a nastavit CSF a také základní příkazy pro použití brány firewall v Debianu 11
Počáteční nastavení
Aktualizujte serverové balíčky na nejnovější.
sudo apt update sudo apt dist-upgrade -y
Pokud již používáte UFW, což je základní firewall, odeberte UFW pomocí níže uvedeného příkazu.
sudo apt remove ufw
Instalační závislosti
Nainstalujte požadované závislosti, které používá CSF.
sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
Nainstalujte Sendmail, který CSF používá ke komunikaci.
Podrobné nastavení Sendmailu naleznete v této dokumentaci.
sudo apt install sendmail-bin
Nyní máte všechny závislosti k instalaci a konfiguraci CSF.
Instalovat CSF
Přejděte na /usr/src adresář.
Stáhněte si nejnovější balíček pomocí wget .
sudo wget https://download.configserver.com/csf.tgz
Rozbalte stažený balíček.
sudo tar -xzvf csf.tgz
Nyní nainstalujte CSF.
cd csf sudo sh install.sh
Nyní obdržíte výstup, jak je uvedeno níže, který označuje úspěšnou instalaci.
Installation Completed
Ověřte, zda jsou přítomny požadované moduly iptables.
sudo perl /usr/local/csf/bin/csftest.pl
Obdržíte výstup podobný tomu níže.
Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server
Verzi CSF můžete zkontrolovat pomocí následujícího příkazu.
sudo csf -v csf: v14.15 (generic) *WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
Konfigurovat CSF
Jakmile je firewall nainstalován, je nakonfigurován tak, aby ve výchozím nastavení běžel v režimu TESTOVÁNÍ.
Chcete-li deaktivovat režim TESTOVÁNÍ, musíte provést změny v /etc/csf/csf.conf soubor.
sudo nano /etc/csf/csf.conf
Najděte řádek TESTING =„1“ a změňte hodnotu na „0“ .
TESTING = "0"
Najděte řádek RESTRICT_SYSLOG =„0“ a změňte hodnotu na „3“ . To znamená pouze členy skupiny RESTRICT_SYSLOG_GROUP má přístup k syslog/rsyslog soubory.
RESTRICT_SYSLOG = "3"
Stiskněte CTRL+X následuje Y a ENTER pro uložení a ukončení souboru.
Znovu načtěte CSF.
csf -ra
Další konfigurace
Chcete-li povolit připojení dalších portů.
Upravte /etc/csf/csf.conf
Vyhledejte direktivu TCP_IN a přidejte své porty.
# Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"
Přidal jsem port MYSQL pro připojení ke vzdálenému serveru.
Po každé změně restartujte CSF.
sudo csf -ra
Základní příkazy pro správu CSF
Spustit CSF
sudo csf -s
Zastavit CSF
sudo csf -f
Restartujte CSF
CSF musíte restartovat pokaždé, když se konfigurační soubor změní.
sudo csf -ra
Povolit adresu IP
Použijte -a možnost povolit IP adresu.
sudo csf -a 10.0.2.12
Odmítnout adresu IP
Použijte -d možnost povolit IP adresu.
sudo csf -d 10.0.2.12
Odebrat IP ze seznamu povolených
sudo csf -ar 10.0.2.12
Odebrat IP ze seznamu odmítnutých
sudo csf -dr 10.0.2.12
Zkontrolujte, zda je IP blokována
sudo csf -g IP-ADDRESS
Odebrat IP z bloku
sudo css -tr IP-ADDRESS
Povolit seznamy IP adres
Přidejte své adresy IP uvedené na samostatném řádku v souboru povolení /etc/csf/csf.allow .
Odmítnout seznamy IP
Přidejte své adresy IP uvedené na samostatném řádku v souboru povolení /etc/csf/csf.deny .
Závěr
Nyní jste se naučili, jak zabezpečit svůj server instalací a konfigurací CSF v Debianu 11.
Díky za váš čas. Pokud narazíte na jakýkoli problém nebo zpětnou vazbu, zanechte prosím komentář níže.