Asenna ja määritä ConfigServer Security & Firewall (CSF) Linuxissa

Jos katsot IT-alan työpaikkailmoituksia missä tahansa, huomaat jatkuvan kysynnän tietoturva-ammattilaisille. Tämä ei tarkoita vain sitä, että kyberturvallisuus on mielenkiintoinen tutkimusala, vaan myös erittäin tuottoisa.

Tätä silmällä pitäen tässä artikkelissa selitämme, kuinka ConfigServer Security & Firewall (tunnetaan myös nimellä CSF) asennetaan ja määritetään. Se on täydellinen tietoturvapaketti Linuxiin ja jakaa pari tyypillistä käyttötapausta. Tämän jälkeen voit käyttää CSF:ää palomuurina ja tunkeutumisen/sisäänkirjautumisvirheiden tunnistusjärjestelmänä vahvistaaksesi palvelimia, joista olet vastuussa.

Sen enempää hyvästimättä, aloitetaan.

CSF:n asentaminen ja määrittäminen Linuxissa

Aluksi huomaa, että Perl ja libwww ovat edellytys CSF:n asentamiselle mihin tahansa tuettuun jakeluun (RHEL > ja CentOS, openSUSE, Debian ja Ubuntu). Koska sen pitäisi olla oletusarvoisesti käytettävissä, sinun ei tarvitse tehdä mitään, ellei jokin seuraavista vaiheista palauta vakavaa virhettä (asenna puuttuvat riippuvuudet siinä tapauksessa paketinhallintajärjestelmän avulla).

yum install perl-libwww-perl
apt install libwww-perl

Vaihe 1 – Lataa CSF

cd /usr/src
wget https://download.configserver.com/csf.tgz

Vaihe 2 – Pura CSF-tarball

tar xzf csf.tgz
cd csf

Vaihe 3 – Suorita CSF-asennuskomentosarja

Tämä osa prosessia tarkistaa, että kaikki riippuvuudet on asennettu, luo tarvittavat hakemistorakenteet ja tiedostot verkkokäyttöliittymää varten, havaitsee avoinna olevat portit ja muistuttaa sinua käynnistämään csf ja lfd< demonit, kun olet tehnyt alkuperäiset asetukset.

sh install.sh
perl /usr/local/csf/bin/csftest.pl

Yllä olevan komennon odotettu tulos on seuraava:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

Vaihe 4: Poista palomuuri käytöstä ja määritä CSF

Poista palomuuri käytöstä, jos se on käynnissä, ja määritä CSF.

systemctl stop firewalld
systemctl disable firewalld

Vaihda TESTING="1" arvoksi TESTING="0" (muuten lfd-daemon ei käynnisty) ja luettele sallitut saapuvat ja lähtevät portit pilkuilla eroteltuna luettelona (TCP_IN ja TCP_OUT) tiedostossa /etc/csf/csf.conf alla olevan tulosteen mukaisesti :

Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab
#
lfd will not start while this is enabled
TESTING = "0"

Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

Kun olet tyytyväinen kokoonpanoon, tallenna muutokset ja palaa komentoriville.

Vaihe 5 – Käynnistä uudelleen ja testaa CSF

systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v

Tässä vaiheessa olemme valmiita aloittamaan palomuuri- ja tunkeutumisen havaitsemissääntöjen asettamisen seuraavassa kuvatulla tavalla.

CSF:n ja tunkeutumisen havaitsemissääntöjen määrittäminen

Ensinnäkin sinun kannattaa tarkistaa nykyiset palomuurisäännöt seuraavasti:

csf -l

Voit myös pysäyttää ne tai ladata ne uudelleen seuraavasti:

csf -f
csf -r

vastaavasti. Muista muistaa nämä vaihtoehdot – tarvitset niitä edetessäsi, erityisesti tarkistaaksesi sen, kun olet tehnyt muutoksia ja käynnistänyt csf- ja lfd uudelleen.

Esimerkki 1 – IP-osoitteiden salliminen ja kieltäminen

Saapuvien yhteyksien salliminen osoitteesta 192.168.0.10.

csf -a 192.168.0.10

Vastaavasti voit estää yhteydet, jotka ovat peräisin osoitteesta 192.168.0.11.

csf -d 192.168.0.11

Voit poistaa kaikki yllä olevista säännöistä, jos haluat tehdä niin.

csf -ar 192.168.0.10
csf -dr 192.168.0.11

Huomaa, kuinka -ar- tai -dr-komentojen käyttö yllä poistaa olemassa olevat salli- ja estosäännöt, jotka liittyvät tiettyyn IP-osoitteeseen.

Esimerkki 2 – Saapuvien yhteyksien rajoittaminen lähteen mukaan

Palvelimesi käyttötarkoituksesta riippuen saatat haluta rajoittaa saapuvat yhteydet turvalliseen numeroon porttikohtaisesti. Voit tehdä tämän avaamalla /etc/csf/csf.conf ja etsimällä hakusanalla CONNLIMIT. Voit määrittää useita portteja; kytkentäparit pilkuilla erotettuina. Esimerkiksi,

CONNLIMIT = "22;2,80;10"

sallii vain 2 ja 10 saapuvan yhteyden samasta lähteestä TCP-portteihin 22 ja 80, vastaavasti.

Esimerkki 3 – Hälytysten lähettäminen sähköpostitse

Voit valita useita hälytystyyppejä. Etsi EMAIL_ALERT-asetukset osoitteesta /etc/csf/csf.conf ja varmista, että ne on asetettu arvoon "1", jotta saat niihin liittyvän hälytyksen. Esimerkiksi,

 
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

aiheuttaa hälytyksen lähettämisen kohdassa LF_ALERT_TO määritettyyn osoitteeseen aina, kun joku kirjautuu onnistuneesti sisään SSH:n kautta tai vaihtaa toiseen tiliin su-komennolla.

CSF:n määritysvaihtoehdot ja käyttö

Näitä seuraavia vaihtoehtoja käytetään csf-määrityksen muokkaamiseen ja hallintaan. Kaikki csf-määritystiedostot sijaitsevat /etc/csf-hakemistossa. Jos muutat jotakin seuraavista tiedostoista, sinun on käynnistettävä csf-daemon uudelleen muutosten tekemiseksi.

  • csf.conf : Pääasetustiedosto CSF:n ohjaamiseen.
  • csf.allow : Luettelo palomuurin sallituista IP- ja CIDR-osoitteista.
  • csf.deny : Luettelo palomuurin estetyistä IP- ja CIDR-osoitteista.
  • csf.ignore : Luettelo ohitetuista IP- ja CIDR-osoitteista palomuurissa.
  • csf.*ignore : Luettelo erilaisista käyttäjien IP-osoitteiden ohitustiedostoista.

Poista CSF-palomuuri

Jos haluat poistaa CSF-palomuurin kokonaan, suorita seuraava komentosarja, joka sijaitsee hakemistossa /etc/csf/uninstall.sh.

/etc/csf/uninstall.sh

Yllä oleva komento poistaa CSF-palomuurin kokonaan kaikista tiedostoista ja kansioista.

Yhteenveto

Tässä artikkelissa olemme selostaneet, kuinka CSF asennetaan, määritetään ja käytetään palomuurina ja tunkeutumisen havaitsemisjärjestelmänä. Huomaa, että lisää ominaisuuksia on kuvattu tiedostossa csf.conf.

Jos olet esimerkiksi web-hosting-alalla, voit integroida CSF:n hallintaratkaisuihin, kuten Cpanel, WHM tai tunnettu Webmin.

Onko sinulla kysyttävää tai kommentteja tästä artikkelista? Voit vapaasti lähettää meille viestin alla olevalla lomakkeella. Me odotamme yhteydenottoasi!