Si të instaloni dhe konfiguroni CSF (Config Server Firewall) në CentOS 7


Config Server Firewall/CSF është paketa e aplikacioneve të murit të zjarrit për serverët Linux. CSF është gjithashtu një zbulim i hyrjes/ndërhyrjes për aplikacione si SSH, SMTP, IMAP, Pop3, komanda \su\ dhe shumë të tjera. CSF mund p.sh. zbuloni kur dikush po hyn në server nëpërmjet SSH dhe ju alarmon kur ky përdorues përpiqet të përdorë komandën \su\ në server për të marrë privilegje më të larta. Ai gjithashtu kontrollon për dështime të vërtetimit të hyrjes në serverët e postës (Exim, IMAP, Dovecot, uw-imap, Kerio), serverët OpenSSH, serverët Ftp (Pure-ftpd, vsftpd, Proftpd), serverin cPanel për të zëvendësuar softuer si fail2ban. CSF është një zgjidhje e mirë sigurie për serverët pritës dhe mund të integrohet në ndërfaqen e përdoruesit (UI) të WHM/cPanel, DirectAdmin dhe Webmin.

Parakushtet

  • CentOS 7 (serveri im përdor IP 192.168.1.101).
  • privilegjet e rrënjës.

Çfarë do të bëjmë në këtë tutorial:

  • Instaloni varësitë për CSF.
  • Instaloni CSF.
  • Konfiguro CSF.
  • Komandat bazë CSF.
  • Konfigurimi i avancuar.

Hapi 1 - Instalimi i varësive CFS

CSF bazohet në Perl, kështu që së pari duhet të instaloni Perl në serverin tonë. Ju duhet wget për të shkarkuar instaluesin CSF dhe vim (ose një redaktues sipas zgjedhjes suaj) për të redaktuar skedarin e konfigurimit CSF. Instaloni paketat me komandën yum:

yum install wget vim perl-libwww-perl.noarch perl-Time-HiRes

Hapi 2 - Instaloni CSF

Ju lutemi, shkoni te drejtoria \/usr/src/\ dhe shkarkoni CSF me komandën wget.

cd /usr/src/
wget https://download.configserver.com/csf.tgz

Ekstraktoni skedarin tar.gz dhe shkoni te drejtoria csf, më pas instaloni:

tar -xzf csf.tgz
cd csf
sh install.sh

Ju duhet të merrni informacionin se instalimi CSF ka përfunduar në fund.

Tani duhet të kontrolloni nëse CSG funksionon vërtet në këtë server. Shkoni te drejtoria \/usr/local/csf/bin/\ dhe ekzekutoni \csftest.pl\.

cd /usr/local/csf/bin/
perl csftest.pl

Nëse shihni rezultatet e testit siç tregohet më poshtë, atëherë CSF po funksionon pa probleme në serverin tuaj:

RESULT: csf should function on this server

Hapi 3 - Konfiguro CSF në CentOS 7

Përpara se të hyni në procesin e konfigurimit të CSF, gjëja e parë që duhet të dini është se \CentOS 7\ ka një aplikacion të paracaktuar të murit të zjarrit të quajtur \firewalld\. Duhet të ndaloni murin e zjarrit dhe ta hiqni atë nga startup-in.

Ndaloni murin e zjarrit:

systemctl stop firewalld

Çaktivizo/Hiq murin e zjarrit nga fillimi:

systemctl disable firewalld

Më pas shkoni te drejtoria e konfigurimit CSF \/etc/csf/\ dhe modifikoni skedarin \csf.conf\ me redaktorin vim:

cd /etc/csf/
vim csf.conf

Ndrysho rreshtin 11 \TESTING \\0\ për aplikimin e konfigurimit të murit të zjarrit.

TESTING = "0"

Si parazgjedhje CSF lejon trafikun hyrës dhe dalës për portën standarde SSH 22, nëse përdorni një portë tjetër SSH, atëherë ju lutemi shtoni portin tuaj në konfigurimin në rreshtin 139 \TCP_IN\.

Tani filloni CSF dhe LFD me komandën systemctl:

systemctl start csf
systemctl start lfd

Dhe më pas aktivizoni shërbimet csf dhe lfd që të nisin në kohën e nisjes:

systemctl enable csf
systemctl enable lfd

Tani mund të shihni rregullat e paracaktuara të listës së CSF me komandën:

csf -l

Hapi 4 - Komandat themelore të CSF

1. Nisni murin e zjarrit (aktivizoni rregullat e murit të zjarrit):

csf -s

2. Flush/Stop rregullat e firewall-it.

csf -f

3. Rifresko rregullat e murit të zjarrit.

csf -r

4. Lejo një IP dhe shtoje atë në csf.allow.

csf -a 192.168.1.109

Rezultatet:

Adding 192.168.1.109 to csf.allow and iptables ACCEPT...
ACCEPT  all opt -- in !lo out *  192.168.1.109  -> 0.0.0.0/0 
ACCEPT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.109

5. Hiqni dhe fshini një IP nga csf.allow.

csf -ar 192.168.1.109

Rezultatet:

Removing rule...
ACCEPT  all opt -- in !lo out *  192.168.1.109  -> 0.0.0.0/0 
ACCEPT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.109

6. Mohoni një IP dhe shtoni në csf.deny:

csf -d 192.168.1.109

Rezultatet:

Adding 192.168.1.109 to csf.deny and iptables DROP...
DROP  all opt -- in !lo out *  192.168.1.109  -> 0.0.0.0/0 
LOGDROPOUT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.109

7. Hiqni dhe fshini një IP nga csf.deny.

csf -dr 192.168.1.109

Rezultatet:

Removing rule...
DROP  all opt -- in !lo out *  192.168.1.109  -> 0.0.0.0/0 
LOGDROPOUT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.109

8. Hiqni dhe Zhbllokoni të gjitha hyrjet nga csf.deny.

csf -df

Rezultatet:

DROP  all opt -- in !lo out *  192.168.1.110  -> 0.0.0.0/0  
LOGDROPOUT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.110 
DROP  all opt -- in !lo out *  192.168.1.111  -> 0.0.0.0/0 
LOGDROPOUT  all opt -- in * out !lo  0.0.0.0/0  -> 192.168.1.111   
csf: all entries removed from csf.deny

9. Kërkoni për një përputhje modeli në iptables p.sh.: IP, CIDR, Numri i portit

csf -g 192.168.1.110

Hapi 5 - Konfigurimi i avancuar

Këtu janë disa rregullime në lidhje me CSF, kështu që ju mund të konfiguroni sipas nevojës.

Kthehuni te drejtoria e konfigurimit csf dhe modifikoni skedarin e konfigurimit csf.conf:

cd /etc/csf/
vim csf.conf

1. Mos Blloko adresat IP që janë në skedarët csf.allow.

Si parazgjedhje, lfd gjithashtu do të bllokojë një IP nën skedarët csf.allow, kështu që nëse dëshironi që një IP në skedarët csf.allow të mos bllokohet kurrë nga lfd, atëherë ju lutemi shkoni te rreshti 272 dhe ndryshoni \IGNORE_ALLOW\\1\. Kjo është e dobishme kur keni një IP statike në shtëpi ose në zyrë dhe dëshironi të siguroheni që IP-ja juaj të mos bllokohet kurrë nga muri i zjarrit në serverin tuaj të internetit.

IGNORE_ALLOW = "1"

2. Lejo ICMP hyrëse dhe dalëse.

Shkoni në rreshtin 152 për ping/ICMP hyrëse:

ICMP_IN = "1"

Dhe rreshti 159 për ping ping/ICMP dalëse:

ICMP_OUT = "1"

3. Blloko shtete të caktuara

CSF ofron një opsion për të lejuar dhe refuzuar aksesin sipas vendit duke përdorur CIDR (Kodi i Shtetit). Shkoni te rreshti 836 dhe shtoni kodet e shteteve që do të lejohen dhe refuzohen:

CC_DENY = "CN,UK,US"
CC_ALLOW = "ID,MY,DE"

4. Dërgoni regjistrin e hyrjes në Su dhe SSH me email.

Mund të caktoni një adresë emaili që përdoret nga LFD për të dërguar një email në lidhje me ngjarjet \SSH Login\ dhe përdoruesit që ekzekutojnë komandën \su\ , shkoni në rreshtin 1069 dhe ndryshoni vlerën në \1\.

LF_SSH_EMAIL_ALERT = "1"

...

LF_SU_EMAIL_ALERT = "1"

Dhe më pas përcaktoni adresën e emailit që dëshironi të përdorni në rreshtin 588.

LF_ALERT_TO = ""

Nëse doni më shumë ndryshime, lexoni opsionet në skedarin e konfigurimit \/etc/csf/csf.conf\.

konkluzioni

CSF është një mur zjarri i bazuar në aplikacione për iptables të ofruara për serverët Linux. CSF ka shumë veçori dhe mund të mbështesë mjetet e menaxhimit të bazuara në ueb si cPanel/WHM, DirectAdmin dhe Webmin. CSF është i lehtë për t'u instaluar dhe përdorur në server, ai e bën më të lehtë menaxhimin e sigurisë për sysadminët.