Hvordan installere Config Server Firewall (CSF) på Debian/Ubuntu
ConfigServer and Security Firewall, forkortet til CSF, er en åpen kildekode og avansert brannmur designet for Linux-systemer. Det gir ikke bare den grunnleggende funksjonaliteten til en brannmur, men tilbyr også en lang rekke tilleggsfunksjoner som pålogging/inntrengningsdeteksjon, utnyttelsessjekker, ping av dødsbeskyttelse og mye mer.
[Du vil kanskje også like: 10 nyttige sikkerhetsbrannmurer med åpen kildekode for Linux-systemer ]
I tillegg gir den også UI-integrasjon for ConfigServers offisielle nettsted.
I denne veiledningen vil vi lede deg gjennom installasjonen og konfigurasjonen av ConfigServer Security & Firewall (CSF) på Debian og Ubuntu.
Trinn 1: Installer CSF-brannmur på Debian og Ubuntu
Først må du installere noen avhengigheter før du begynner med å installere CSF-brannmuren. På terminalen din, oppdater pakkeindeksen:
$ sudo apt update
Installer deretter avhengighetene som vist:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Med det ute av veien, kan du nå fortsette til neste trinn.
Siden CSF ikke er inkludert i standard Debian- og Ubuntu-repositoriene, må du installere det manuelt. For å fortsette, last ned CSF tarball-filen som inneholder alle installasjonsfilene ved å bruke følgende wget-kommando.
$ wget http://download.configserver.com/csf.tgz
Dette laster ned en komprimert fil kalt csf.tgz.
Pakk deretter ut den komprimerte filen.
$ tar -xvzf csf.tgz
Dette lager en mappe kalt csf.
$ ls -l
Deretter navigerer du inn i csf-mappen.
$ cd csf
Installer deretter CSF-brannmuren ved å kjøre installasjonsskriptet som vises.
$ sudo bash install.sh
Hvis alt gikk bra, bør du få utgangen som vist.
På dette tidspunktet er CSF installert. Du må imidlertid bekrefte at de nødvendige iptablene er lastet inn. For å oppnå dette, kjør kommandoen:
$ sudo perl /usr/local/csf/bin/csftest.pl
Trinn 2: Konfigurer CSF-brannmur på Debian og Ubuntu
Noe ekstra konfigurasjon er nødvendig. Deretter må vi endre noen innstillinger for å aktivere CSF. Så gå over til csf.conf-konfigurasjonsfilen.
$ sudo nano /etc/csf/csf.conf
Rediger TESTING-direktivet fra 1 til 0 som angitt nedenfor.
TESTING = "0"
Deretter setter du RESTRICT_SYSLOG-direktivet til 3 for å begrense rsyslog/syslog-tilgang kun til medlemmer av RESTRICT_SYSLOG_GROUP.
RESTRICT_SYSLOG = "3"
Deretter kan du åpne TCP- og UDP-porter ved å finne TCP_IN-, TCP_OUT-, UDP_IN- og UDP_OUT-direktivene.
Som standard åpnes følgende porter.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
Sjansen er stor for at du ikke trenger alle disse portene åpnet, og beste serverpraksis krever at du bare åpner portene du bruker. Vi anbefaler at du fjerner alle unødvendige porter og lar de som brukes av tjenestene som kjører på systemet ditt.
Når du er ferdig med å spesifisere portene du trenger, last inn CSF på nytt som vist.
$ sudo csf -r
For å liste opp alle IP-tabellreglene som er definert på serveren, kjør kommandoen:
$ sudo csf -l
Du kan starte og aktivere CSF-brannmuren ved oppstart som følger:
$ sudo systemctl start csf $ sudo systemctl enable csf
Bekreft deretter at brannmuren faktisk kjører:
$ sudo systemctl status csf
Trinn 3: Blokkering og tillatelse av IP-adresser i CSF-brannmur
En av nøkkelfunksjonene til en brannmur er muligheten til å tillate eller blokkere IP-adresser fra å få tilgang til serveren. Med CSF kan du hviteliste (tillate), svarteliste (avslå) eller ignorere IP-adresser ved å endre følgende konfigurasjonsfiler:
- csf.allow
- csf.deny
- csf.ignore
For å blokkere en IP-adresse, åpner du bare csf.deny-konfigurasjonsfilen.
$ sudo nano /etc/csf/csf.deny
Angi deretter IP-adressene du vil blokkere. Du kan spesifisere IP-adressene linje for linje som vist:
192.168.100.50 192.168.100.120
Eller du kan bruke CIDR-notasjonen til å blokkere et helt undernett.
192.168.100.0/24
For å tillate en IP-adresse gjennom Iptables og ekskludere den fra alle filtre eller blokker, rediger csf.allow-konfigurasjonsfilen.
$ sudo nano /etc/csf/csf.allow
Du kan liste en IP-adresse per linje, eller bruke CIDR-adresseringen som tidligere vist når du blokkerer IP-er.
MERK: En IP-adresse er tillatt selv når den er eksplisitt definert i konfigurasjonsfilen csf.deny. For å sikre at en IP-adresse er blokkert eller svartelistet, sørg for at den ikke er oppført i csf.allow-filen.
I tillegg gir CSF deg muligheten til å ekskludere en IP-adresse fra IP-tabeller eller filtre. Enhver IP-adresse i csf.ignore-filen vil bli unntatt fra iptables-filtrene. Det kan bare blokkeres hvis det er spesifisert i csf.deny-filen.
For å frita en IP-adresse fra filtrene, gå til csf.ignore-filen.
$ sudo nano /etc/csf/csf.ignore
Nok en gang kan du liste IP-ene linje for linje eller bruke CIDR-notasjon.
Og det avslutter guiden vår i dag. Vi håper du nå kan installere og konfigurere CSF-brannmuren uten problemer.