Config Server Firewallin (CSF) asentaminen Debianiin/Ubuntuun

ConfigServer ja Security Firewall, lyhennettynä CSF, on avoimen lähdekoodin edistynyt palomuuri, joka on suunniteltu Linux-järjestelmille. Se ei tarjoa vain palomuurin perustoimintoja, vaan tarjoaa myös laajan valikoiman lisäominaisuuksia, kuten sisäänkirjautumisen/tunkeutumisen havaitsemisen, hyväksikäytön tarkistukset, ping of death -suojauksen ja paljon muuta.

Lisäksi se tarjoaa myös käyttöliittymäintegraation laajalti käytettyihin ohjauspaneeleihin, kuten cPanel, Webmin, Vesta CP, CyberPanel ja DirectAdmin. Löydät täydellisen luettelon tuetuista ominaisuuksista ja käyttöjärjestelmistä ConfigServerin viralliselta verkkosivustolta.

Tässä oppaassa opastamme sinut ConfigServer Security & Firewallin (CSF) asennuksen ja määrityksen läpi Debianissa ja Ubuntussa. .

Vaihe 1: Asenna CSF-palomuuri Debianiin ja Ubuntuun

Ensinnäkin sinun on asennettava joitain riippuvuuksia ennen kuin aloitat CSF-palomuurin asentamisen. Päivitä terminaalissasi pakettihakemisto:

sudo apt update

Asenna seuraavaksi riippuvuudet kuvan osoittamalla tavalla:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Kun se on poissa tieltä, voit siirtyä seuraavaan vaiheeseen.

Koska CSF ei sisälly oletusarvoisiin Debian- ja Ubuntu-tietovarastoihin, sinun on asennettava se manuaalisesti. Jatka lataamalla CSF-tarball-tiedosto, joka sisältää kaikki asennustiedostot, käyttämällä seuraavaa wget-komentoa.

wget http://download.configserver.com/csf.tgz

Tämä lataa pakatun tiedoston nimeltä csf.tgz.

Pura seuraavaksi pakattu tiedosto.

tar -xvzf csf.tgz

Tämä luo kansion nimeltä csf.

ls -l

Siirry seuraavaksi csf-kansioon.

cd csf

Asenna sitten CSF-palomuuri suorittamalla näytettävä asennusohjelma.

sudo bash install.sh

Jos kaikki meni hyvin, sinun pitäisi saada tulos kuvan mukaisesti.

Tässä vaiheessa CSF on asennettu. Sinun on kuitenkin varmistettava, että vaaditut iptables on ladattu. Saavuta tämä suorittamalla komento:

sudo perl /usr/local/csf/bin/csftest.pl

Vaihe 2: Määritä CSF-palomuuri Debianissa ja Ubuntussa

Lisämäärityksiä tarvitaan Seuraavaksi meidän on muutettava muutamia asetuksia, jotta CSF otetaan käyttöön. Siirry siis csf.conf-määritystiedostoon.

sudo nano /etc/csf/csf.conf

Muokkaa TESTAUS-ohjetta arvosta "1" arvoon "0" alla kuvatulla tavalla.

TESTING = "0"

Aseta seuraavaksi RESTRICT_SYSLOG-direktiivin arvoksi "3" rajoittaaksesi rsyslogin/syslogin käyttöoikeudet vain ryhmän RESTRICT_SYSLOG_GROUP jäsenille.

RESTRICT_SYSLOG = "3"

Seuraavaksi voit avata TCP- ja UDP-portit etsimällä TCP_IN, TCP_OUT, UDP_IN,<.- ja UDP_OUT-käskyt.

Oletuksena seuraavat portit avataan.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

On mahdollista, että sinun ei tarvitse avata kaikkia portteja, ja parhaat palvelinkäytännöt edellyttävät, että avaat vain käyttämäsi portit. Suosittelemme poistamaan kaikki tarpeettomat portit ja jättämään ne, joita järjestelmässäsi olevat palvelut käyttävät.

Kun olet määrittänyt tarvitsemasi portit, lataa CSF uudelleen kuvan osoittamalla tavalla.

sudo csf -r

Luettele kaikki palvelimelle määritetyt IP-taulukkosäännöt suorittamalla komento:

sudo csf -l

Voit käynnistää CSF-palomuurin ja ottaa sen käyttöön käynnistyksen yhteydessä seuraavasti:

sudo systemctl start csf
sudo systemctl enable csf

Varmista sitten, että palomuuri todellakin on käynnissä:

sudo systemctl status csf

Vaihe 3: IP-osoitteiden estäminen ja salliminen CSF-palomuurissa

Yksi palomuurin tärkeimmistä toiminnoista on kyky sallia tai estää IP-osoitteiden pääsy palvelimelle. CSF:n avulla voit lisätä IP-osoitteita sallittujen luetteloon (salli), mustalle listalle (kiellä) tai ohittaa IP-osoitteet muokkaamalla seuraavia määritystiedostoja:

  • csf.allow
  • csf.deny
  • csf.ignore

Estä IP-osoite CSF:ssä

Voit estää IP-osoitteen avaamalla csf.deny-määritystiedoston.

sudo nano /etc/csf/csf.deny

Määritä sitten IP-osoitteet, jotka haluat estää. Voit määrittää IP-osoitteet rivi riviltä kuvan osoittamalla tavalla:

192.168.100.50
192.168.100.120

Tai voit käyttää CIDR-merkintää estääksesi koko aliverkon.

192.168.100.0/24

Salli IP-osoite CSF:ssä

Jos haluat sallia IP-osoitteen Iptablesin kautta ja sulkea sen pois kaikista suodattimista tai lohkoista, muokkaa csf.allow-määritystiedostoa.

sudo nano /etc/csf/csf.allow

Voit listata IP-osoitteen riviä kohden tai käyttää CIDR-osoitetta, kuten aiemmin esitettiin IP-osoitteiden estämisessä.

HUOMAA: IP-osoite sallitaan, vaikka se olisi erikseen määritetty csf.deny-määritystiedostossa. Varmistaaksesi, että IP-osoite on estetty tai lisätty mustalle listalle, varmista, että se ei ole luettelossa csf.allow-tiedostossa.

Jätä IP-osoite pois CSF:stä

Lisäksi CSF antaa sinulle mahdollisuuden sulkea IP-osoite pois IP-taulukoista tai suodattimista. Kaikki csf.ignore-tiedoston IP-osoitteet vapautetaan iptables-suodattimista. Se voidaan estää vain, jos se on määritetty csf.deny-tiedostossa.

Voit vapauttaa IP-osoitteen suodattimista käyttämällä csf.ignore-tiedostoa.

sudo nano /etc/csf/csf.ignore

Jälleen kerran voit luetella IP-osoitteet rivi riviltä tai käyttää CIDR-merkintää.

Johtopäätös

Ja tämä päättää tämän päivän oppaamme. Toivomme, että voit nyt asentaa ja määrittää CSF-palomuurin ilman ongelmia.