Zabezpečení vašeho linuxového serveru firewallem je zásadní pro udržení vašeho serveru a vaší sítě v bezpečí. Jak ale nastavit firewall? Pokud hledáte spolehlivý a účinný způsob ochrany svého linuxového serveru, zvažte instalaci brány Config Server Firewall (CSF firewall).
CSF firewall je funkčně bohatá možnost pro servery Linux. A v tomto tutoriálu se dozvíte, jak nainstalovat a nakonfigurovat CSF firewall a uvidíte, jak to funguje z první ruky.
Čtěte dál a chraňte před škodlivými entitami svůj server!
Předpoklady
Chcete-li pokračovat podle příkladů v tomto tutoriálu, ujistěte se, že máte na svém místě následující:
- Počítač Linux – Tato ukázka používá Ubuntu 20.04, ale budou fungovat všechny distribuce Linuxu.
- práva sudo nebo přístup k účtu root.
Instalace brány CSF Firewall
Před nastavením brány firewall CSF jej nejprve musíte nainstalovat na server. Než to však uděláte, nezapomeňte zastavit a deaktivovat všechny ostatní brány firewall na vašem serveru.
Spuštění dvou firewallů představuje bezpečnostní riziko. Proč? Pokud oba firewally něco blokují, nebudete vědět, který to dělá. Firewally také nejsou ve výchozím nastavení kompatibilní a mohou způsobit selhání serveru, pokud jich máte více.
1. Spuštěním následujících příkazů deaktivujete výchozí brány firewall, které můžete mít na svém serveru.
# Stop the firewalld firewall
sudo systemctl stop firewalld
# Disable the firewalld firewall
sudo systemctl disable firewalld
# Disable the UFW firewall
sudo ufw disable
2. Dále spusťte apt update příkaz níže pro aktualizaci indexu dostupných balíčků.
Když spustíte tento příkaz, váš místní počítač se může připojit k internetu a stáhnout aktualizační zprávu pro každé nové úložiště nebo archiv definovaný v /etc/apt/sources.list soubor.
sudo apt update -yNíže uvedený výstup ukazuje aktualizaci místních souborů balíčků a poskytuje zpětnou vazbu o průběhu v reálném čase.
Balíček CSF není aktuálně dostupný v repozitářích Ubuntu, takže si musíte balíček stáhnout ručně (krok tři).
3. Spusťte wget příkaz níže ke stažení csf.tgz balíček do vašeho aktuálního adresáře.
csf.tgz balíček je hlavní balíček CSF. Tento balíček obsahuje všechna pravidla a úpravy nutné k zabezpečení vašeho serveru.
sudo wget http://download.configserver.com/csf.tgz
4. Nyní spusťte tar příkaz níže pro extrahování staženého balíčku CSF. Po dokončení příkazu budete mít nový adresář s názvem csf který obsahuje všechny konfigurační soubory brány firewall CSF
- Níže uvedené příznaky sdělují
tarchování příkazu při extrahování: xpříznak říkátarextrahovat soubory.zpříznak říkátarpro použití GZIP k dekomprimaci zadaných souborů. GZIP je program pro kompresi souborů, který ke kompresi souborů používá kódování Lempel-Ziv (LZ77).fpříznak říkátarkteré soubory extrahovat.
sudo tar -xzf csf.tgz
5. Spusťte ls příkazem níže zkontrolujte, zda csf adresář existuje.
ls -la
Uvidíte všechny soubory a adresáře ve vašem domovském adresáři, včetně csf adresář, jak je uvedeno níže. Pokud nevidíte csf spusťte znovu sudo tar -xzf csf.tgz příkaz.
6. Dále spusťte následující příkazy pro přesun do csf adresář a spusťte skript shellu (install.sh ) k instalaci CSF na váš server. Postupujte podle pokynů a v případě potřeby během instalace zadejte „Y“.
cd csf
sudo sh install.shShell skript vytvoří spouštěcí skript CSF pro démona CSF a přidá konfigurační soubory do příslušných adresářů, jako je /etc/csf/ , /etc/logrotate.d/ , a tak dále. Tímto způsobem se nemusíte starat o vytváření všech konfiguračních souborů a adresářů sami.
7. Spusťte níže uvedený příkaz a zkontrolujte, zda jste správně nainstalovali CSF firewall. Tento příkaz zkontroluje a vytiskne nainstalovanou verzi brány firewall CSF na vašem serveru. sudo csf -v
sudo csf -vPokud je CSF firewall nainstalován správně, uvidíte číslo verze CSF firewallu, jak je uvedeno níže. V této ukázce je nainstalovaná verze v14.5 (obecná) , ale ten váš může být jiný.
Režim TESTOVÁNÍ je povolen prozatím můžete ignorovat varovná zpráva. Jak testovací režim deaktivovat, se dozvíte později.
8. Nakonec spusťte perl příkaz níže pro kontrolu všech modulů CSF (/usr/local/csf/bin/csftest.pl ).
csftest.pl soubor je jedním ze skriptů v Perlu s balíčkem CSF. Tento skript v Perlu vám umožňuje otestovat vaše moduly brány firewall CSF, abyste se ujistili, že fungují správně, než je povolíte.
perl /usr/local/csf/bin/csftest.pl
Pokud vaše moduly brány firewall fungují správně, zobrazí se OK stav, jak je znázorněno na snímku obrazovky níže. 
Kontrola všech modulů CSF
Konfigurace brány CSF Firewall
Nyní, když máte nainstalovaný CSF, můžete jej nakonfigurovat tak, aby fungoval s vaším systémem, úpravou souboru /etc/csf/csf.conf konfigurační soubor pro CSF firewall. Tento soubor obsahuje různé parametry/směrnice, ze kterých si můžete vybrat pro zabezpečení, protokolování a ochranu.
Tyto parametry měníte podle systémových požadavků. Ale neměňte je, pokud nevíte, co děláte. Jakákoli změna tohoto souboru může způsobit nefunkčnost vašeho firewallu nebo dokonce zničit zabezpečení vašeho serveru, pokud se provede nesprávně.
Přestože komentáře v konfiguračním souboru jsou minimální, pochopení struktury souboru a myšlenky těchto direktiv, pokud s konfigurací CSF začínáte, se hodí. A když si budete dostatečně jisti, pusťte se do vytváření složitějších konfigurací.
1. Otevřete /etc/csf/csf.conf soubor ve vašem preferovaném editoru a poté změňte TESTOVÁNÍ hodnotu direktivy na 0 místo 1 , Jak je ukázáno níže. TESTOVÁNÍ směrnice se používá pro účely testování.
Nezapomeňte, že k úpravě konfiguračních souborů potřebujete přístup sudo.
Pokud nastavíte TESTOVÁNÍ hodnotu direktivy na 1 , váš server nebude vynucovat pravidla brány firewall. Pokud ale provozujete aktivní produkční službu, která potřebuje ochranu, jako je například SSH, změňte TESTOVÁNÍ hodnotu direktivy na 0 . To vám umožní povolit ochranu bez přerušení služby.
2. Dále definujte další TCP a UDP porty pro váš CSF firewall pomocí TCP_IN , TCP_OUT , UDP_IN a UDP_OUT směrnice.
Níže je uveden výchozí seznam portů vygenerovaný při instalaci. Seznam obsahuje všechny běžně používané TCP a UDP porty.
Všimněte si, že čím méně portů otevřete, tím bude váš systém bezpečnější. Nemůžete však zavřít všechny porty, protože váš server/služba komunikuje s uživateli prostřednictvím portů 80 a 443 pro přenos HTTP/HTTPS, 53 pro DNS, 22 pro přihlášení SSH atd.
Neodstraňujte výchozí seznam portů, pokud nevíte, co děláte, nebo nemáte konkrétní důvod seznam smazat.
3. Změňte ICMP_IN direktiva na 1 povolit příchozí ping na váš server, abyste jej mohli použít k testování, zda váš server funguje a je online.
Definujte vybranou akci, kterou CSF provede, a také počet povolených pokusů, než firewall provede akci, pomocí následujícího a uložte změny:
CSF může v pravidelných intervalech monitorovat protokoly pro neúspěšné pokusy o přihlášení a detekovat většinu pokusů o nelegální přístup. Tato funkce je užitečná pro ochranu vašich služeb před útoky hrubou silou blokováním zdrojové IP adresy po určitém počtu neúspěšných pokusů o přihlášení.
- Změňte CONNLIMIT hodnota směrnice na 22;3;80;50 . Direktiva CONNLIMIT vám umožňuje určit počet povolených souběžných připojení k serveru na konkrétním portu.
22;3;80;500 hodnota umožňuje 50 souběžná připojení na portu 80 (http) a další tři souběžná připojení na portu 22 (ssh).
- Změňte PORTFLOOD hodnota směrnice na 22;tcp;3;3600 . Direktiva PORTFLOOD omezuje počet připojení na IP adresu za časový interval.
Níže 22;tcp;3;3600 hodnota omezuje IP na jednu hodinu (3600 sekund), pokud byla na portu 22 navázána více než tři spojení pomocí protokolu TCP. Po posledním pokusu o přihlášení CSF uvolní blokovanou IP, jakmile uplyne časový rámec 3600 sekund.
- Dále nastavte DENY_IP_LIMIT hodnota směrnice na 10 . Tato direktiva řídí, kolik blokovaných IP adres CSF uchovává ve své paměti. Jakmile je dosaženo limitu (10), IP se otočí. Nejstarší záznamy budou poté odstraněny, zatímco nejnovější budou vloženy společně s počtem.
Uložte změny a ukončete editor, jakmile budete s konfigurací spokojeni.
Udržování příliš mnoha bloků špatných IP adres může potenciálně zpomalit váš server. Možná budete chtít zachovat DENY_IP_LIMIT číslo na zvládnutelném čísle.
5. Nyní spusťte níže uvedený příkaz pro opětovné načtení konfigurace brány firewall CSF a aplikujte změny.
csf -r
6. Nakonec spusťte níže uvedený příkaz a ověřte, že je spuštěn CSF firewall.
sudo systemctl status csfPokud konfigurace funguje správně, uvidíte aktivní postavení. Tento stav označuje, že brána firewall načetla vaše nová pravidla a poté ukončila . Toto chování je typické pro jednorázové služby.
V tomto okamžiku jste nakonfigurovali firewall CSF tak, aby blokoval omezený počet IP adres.
Blokování a povolení IP adres pomocí CSF Firewall
Nyní, když jste nakonfigurovali konfigurační soubor CSF, je dalším krokem k ochraně vašeho serveru zablokování nebo povolení IP adresy.
Upravíte tři konfigurační soubory níže:
- /etc/csf/csf.allow
- /etc/csf/csf.deny
- /etc/csf/csf.ignore
Nejběžnějším způsobem zabezpečení serveru je blokování IP adres, takže začněte úpravou souboru /etc/csf/csf.deny konfigurační soubor.
1. Chcete-li zablokovat IP adresu, otevřete /etc/csf/csf.deny soubor ve vašem preferovaném editoru a zadejte adresy IP (jednu na řádek), které chcete blokovat, jak je znázorněno níže. Po přidání IP adres uložte změny a zavřete editor.
V tomto okamžiku CSF zablokuje veškerý provoz z IP adresy, kterou jste přidali.
Přidejte pouze adresy IP, nikoli názvy domén, protože všechny položky názvů domén budou ignorovány.
2. Dále otevřete /etc/csf/csf.allow aby bylo možné vyloučit IP adresy ze všech pravidel brány firewall. Přidejte adresy IP (jedna na řádek), jak je uvedeno níže, abyste je vyloučili z pravidel brány firewall, poté uložte změny a zavřete editor.
Níže uvedený snímek obrazovky je místní IP adresa, kterou toto demo používá k SSH na server pro upgrade CSF.
3. Nakonec otevřete /etc/csf/csf.ignore a přidejte IP adresy (jednu na řádek), abyste je povolili v pravidlech brány firewall. Na rozdíl od csf.allow soubor, IP adresy v csf.ignore bude obcházet pravidla brány firewall, ale bude blokován, pokud je uveden v csf.deny soubor.
Závěr
V tomto článku jste se naučili, jak nainstalovat a nakonfigurovat bránu firewall CSF na počítači Ubuntu. Kromě toho jste se dotkli zabezpečení svého serveru blokováním, povolením a ignorováním IP adres na vašem firewallu.
V tomto okamžiku již máte dobré znalosti o tom, jak zabezpečit server omezením IP adres, které se mohou k vašemu serveru připojit. Proč nenakonfigurovat firewall CSF tak, aby chránil váš panel CSF WHM/cPanel s těmito nově získanými znalostmi?