Config Server Firewallin (CSF) asentaminen Debianiin/Ubuntuun
ConfigServer ja Security Firewall, lyhennettynä CSF, on avoimen lähdekoodin edistynyt palomuuri, joka on suunniteltu Linux-järjestelmille. Se ei tarjoa vain palomuurin perustoimintoja, vaan tarjoaa myös laajan valikoiman lisäominaisuuksia, kuten sisäänkirjautumisen/tunkeutumisen havaitsemisen, hyväksikäytön tarkistukset, ping of death -suojauksen ja paljon muuta.
Lisäksi se tarjoaa myös käyttöliittymäintegraation laajalti käytettyihin ohjauspaneeleihin, kuten cPanel, Webmin, Vesta CP, CyberPanel ja DirectAdmin. Löydät täydellisen luettelon tuetuista ominaisuuksista ja käyttöjärjestelmistä ConfigServerin viralliselta verkkosivustolta.
Tässä oppaassa opastamme sinut ConfigServer Security & Firewallin (CSF) asennuksen ja määrityksen läpi Debianissa ja Ubuntussa. .
Vaihe 1: Asenna CSF-palomuuri Debianiin ja Ubuntuun
Ensinnäkin sinun on asennettava joitain riippuvuuksia ennen kuin aloitat CSF-palomuurin asentamisen. Päivitä terminaalissasi pakettihakemisto:
sudo apt update
Asenna seuraavaksi riippuvuudet kuvan osoittamalla tavalla:
sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Kun se on poissa tieltä, voit siirtyä seuraavaan vaiheeseen.
Koska CSF ei sisälly oletusarvoisiin Debian- ja Ubuntu-tietovarastoihin, sinun on asennettava se manuaalisesti. Jatka lataamalla CSF-tarball-tiedosto, joka sisältää kaikki asennustiedostot, käyttämällä seuraavaa wget-komentoa.
wget http://download.configserver.com/csf.tgz
Tämä lataa pakatun tiedoston nimeltä csf.tgz.
Pura seuraavaksi pakattu tiedosto.
tar -xvzf csf.tgz
Tämä luo kansion nimeltä csf.
ls -l
Siirry seuraavaksi csf-kansioon.
cd csf
Asenna sitten CSF-palomuuri suorittamalla näytettävä asennusohjelma.
sudo bash install.sh
Jos kaikki meni hyvin, sinun pitäisi saada tulos kuvan mukaisesti.
Tässä vaiheessa CSF on asennettu. Sinun on kuitenkin varmistettava, että vaaditut iptables on ladattu. Saavuta tämä suorittamalla komento:
sudo perl /usr/local/csf/bin/csftest.pl
Vaihe 2: Määritä CSF-palomuuri Debianissa ja Ubuntussa
Lisämäärityksiä tarvitaan Seuraavaksi meidän on muutettava muutamia asetuksia, jotta CSF otetaan käyttöön. Siirry siis csf.conf-määritystiedostoon.
sudo nano /etc/csf/csf.conf
Muokkaa TESTAUS-ohjetta arvosta "1" arvoon "0" alla kuvatulla tavalla.
TESTING = "0"
Aseta seuraavaksi RESTRICT_SYSLOG-direktiivin arvoksi "3" rajoittaaksesi rsyslogin/syslogin käyttöoikeudet vain ryhmän RESTRICT_SYSLOG_GROUP jäsenille.
RESTRICT_SYSLOG = "3"
Seuraavaksi voit avata TCP- ja UDP-portit etsimällä TCP_IN, TCP_OUT, UDP_IN,<.- ja UDP_OUT-käskyt.
Oletuksena seuraavat portit avataan.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53,80,443"
UDP_OUT = "20,21,53,113,123"
On mahdollista, että sinun ei tarvitse avata kaikkia portteja, ja parhaat palvelinkäytännöt edellyttävät, että avaat vain käyttämäsi portit. Suosittelemme poistamaan kaikki tarpeettomat portit ja jättämään ne, joita järjestelmässäsi olevat palvelut käyttävät.
Kun olet määrittänyt tarvitsemasi portit, lataa CSF uudelleen kuvan osoittamalla tavalla.
sudo csf -r
Luettele kaikki palvelimelle määritetyt IP-taulukkosäännöt suorittamalla komento:
sudo csf -l
Voit käynnistää CSF-palomuurin ja ottaa sen käyttöön käynnistyksen yhteydessä seuraavasti:
sudo systemctl start csf
sudo systemctl enable csf
Varmista sitten, että palomuuri todellakin on käynnissä:
sudo systemctl status csf
Vaihe 3: IP-osoitteiden estäminen ja salliminen CSF-palomuurissa
Yksi palomuurin tärkeimmistä toiminnoista on kyky sallia tai estää IP-osoitteiden pääsy palvelimelle. CSF:n avulla voit lisätä IP-osoitteita sallittujen luetteloon (salli), mustalle listalle (kiellä) tai ohittaa IP-osoitteet muokkaamalla seuraavia määritystiedostoja:
- csf.allow
- csf.deny
- csf.ignore
Estä IP-osoite CSF:ssä
Voit estää IP-osoitteen avaamalla csf.deny-määritystiedoston.
sudo nano /etc/csf/csf.deny
Määritä sitten IP-osoitteet, jotka haluat estää. Voit määrittää IP-osoitteet rivi riviltä kuvan osoittamalla tavalla:
192.168.100.50
192.168.100.120
Tai voit käyttää CIDR-merkintää estääksesi koko aliverkon.
192.168.100.0/24
Salli IP-osoite CSF:ssä
Jos haluat sallia IP-osoitteen Iptablesin kautta ja sulkea sen pois kaikista suodattimista tai lohkoista, muokkaa csf.allow-määritystiedostoa.
sudo nano /etc/csf/csf.allow
Voit listata IP-osoitteen riviä kohden tai käyttää CIDR-osoitetta, kuten aiemmin esitettiin IP-osoitteiden estämisessä.
HUOMAA: IP-osoite sallitaan, vaikka se olisi erikseen määritetty csf.deny-määritystiedostossa. Varmistaaksesi, että IP-osoite on estetty tai lisätty mustalle listalle, varmista, että se ei ole luettelossa csf.allow-tiedostossa.
Jätä IP-osoite pois CSF:stä
Lisäksi CSF antaa sinulle mahdollisuuden sulkea IP-osoite pois IP-taulukoista tai suodattimista. Kaikki csf.ignore-tiedoston IP-osoitteet vapautetaan iptables-suodattimista. Se voidaan estää vain, jos se on määritetty csf.deny-tiedostossa.
Voit vapauttaa IP-osoitteen suodattimista käyttämällä csf.ignore-tiedostoa.
sudo nano /etc/csf/csf.ignore
Jälleen kerran voit luetella IP-osoitteet rivi riviltä tai käyttää CIDR-merkintää.
Johtopäätös
Ja tämä päättää tämän päivän oppaamme. Toivomme, että voit nyt asentaa ja määrittää CSF-palomuurin ilman ongelmia.