Поиск по сайту:

Руководство по установке и использованию брандмауэра CSF

На этой странице

  1. 2 Загрузка и установка
  2. 3. Удалите другие брандмауэры.
  3. 4 Удаление CSF и LFD
  4. 5 Конфигурация
  5. 6 Использование CSF для просмотра IP-адресов
  6. 7 Разрешить/запретить фильтры для IP-адресов
    1. 7.1 Разрешение IP-адресов
    2. 7.2 Блокировка IP-адресов
    3. 7.3 Игнорирование IP-адресов

    CSF означает безопасность и брандмауэр Configserver. CSF — это сценарий конфигурации, созданный для повышения безопасности серверов, в то же время предоставляя большое количество параметров и функций конфигурации для настройки и защиты с дополнительными проверками для обеспечения бесперебойной работы. Это помогает заблокировать публичный доступ и ограничить доступ к тому, к чему можно получить доступ, например только к электронной почте или только к веб-сайтам и т. Д. Чтобы добавить больше возможностей, он поставляется со сценарием демона сбоя входа в систему (LFD), который работает все время для сканирования за неудачные попытки входа на сервер для обнаружения bruteforce-атак. Существует множество расширенных проверок, которые lfd может выполнить, чтобы предупредить администратора сервера об изменениях на сервере, потенциальных проблемах и возможных компрометациях.

    LFD также блокирует IP-адреса, если с этого IP-адреса появляется огромное количество неудачных попыток входа в систему. Блокировка временная. Это также позволяет администратору просматривать заблокированный IP-адрес, включив службу оповещения по электронной почте. Некоторые из особенностей включают в себя:

    • Отслеживание входа
    • Отслеживание процессов
    • Просмотр каталога
    • Расширенные функции разрешения/запрета
    • Блокировка отчетов
    • Защита порта от наводнений

    И многое другое. Этот пост не охватывает все функции, поэтому для получения более подробной информации о каждой из функций прочитайте файл «readme.txt» из папки csf, которую мы загрузим.

    2 Загрузка и установка

    Первый шаг включает в себя удаление любой предыдущей версии csf, которая могла быть загружена, а затем загрузку последней версии. Для их выполнения используйте следующие две команды:

    rm -fv csf.tgz
    wget http://www.configserver.com/free/csf.tgz

    Теперь мы извлекаем файл tar в домашний каталог и переходим в каталог csf.

    tar -xzf csf.tgz
     cd csf

    Шаги до этого момента показаны на изображении ниже.

    Теперь мы готовы к установке, но прежде чем мы сможем это сделать, нам потребуются привилегии root, иначе мы не сможем установить. Итак, используйте следующую команду, чтобы получить привилегии root, и введите пароль, если потребуется.

    sudo su

    Установите CSF с помощью следующей команды:

    sh install.sh

    После успешного завершения установки вывод будет выглядеть примерно так, как показано на рисунке ниже.

    После завершения установки мы можем выполнить проверку. Для этого мы проверяем, есть ли в нашей системе все необходимые модули iptables. Теперь, когда это запускается, это может означать, что вы не сможете запустить все функции, но это нормально. Этот тест можно считать ПРОШЕЛ, если скрипт не сообщает о ФАТАЛЬНЫХ ошибках. Чтобы проверить это, используйте следующую команду:

    perl /usr/local/csf/bin/csftest.pl

    Мой результат выполнения этого теста показан на изображении ниже:

    3 Удалите другие брандмауэры

    Важно удалить старые брандмауэры или любые другие настройки брандмауэров для защиты сервера. Это связано с тем, что конфликт брандмауэров может привести к сбоям или недоступности. Вы также не должны устанавливать какой-либо другой брандмауэр iptables, а если он уже существует, то его необходимо удалить на этом этапе. Большинство систем, вероятно, имеют брандмауэры APF+BFD и должны быть удалены. Поэтому используйте следующую команду, чтобы обнаружить и удалить их, если они существуют.

    sh /usr/local/csf/bin/remove_apf_bfd.sh

    У меня его не было предустановлено, поэтому вывод команды в моей системе выглядел так, как показано на рисунке ниже:

    4 Удаление CSF и LFD

    Если вы хотите полностью удалить CSF, просто используйте следующие две команды.

    cd /etc/csf
     sh uninstall.sh

    5 Конфигурация

    CSF автоматически предварительно настроен для cPanel и DirectAdmin и будет работать со всеми открытыми стандартными портами. CSF также автоматически настраивает ваш SSH-порт при установке, если он работает на нестандартном порту. CSF также автоматически добавляет в белый список ваш подключенный IP-адрес, если это возможно, при установке. Но, тем не менее, администратор может взять на себя полный контроль, а csf можно настроить вручную в соответствии с потребностями типа сервера.

    CSF устанавливается в каталог \/etc/csf\, и пользователю требуются привилегии суперпользователя даже для доступа к этому каталогу. Этот каталог состоит из всех файлов, необходимых для настройки и запуска csf. Во-первых, \csf.conf\ - это файл, который помогает включать/отключать и управлять каждым возможным использованием и функцией csf. Он обрабатывает все конфигурации. Каталог также содержит различные файлы, такие как \csf.syslog\, в котором указано, где будут храниться файлы журналов, файл \csf.allow\, который используется для пропуска IP-адреса через брандмауэр, и многие другие.

    6 Использование CSF для просмотра IP-адресов

    параметр \-w\ или \--watch\ можно использовать для просмотра и регистрации пакетов из указанного источника по мере их прохождения по цепочкам iptables. Эта функция становится чрезвычайно полезной при отслеживании того, где этот IP-адрес отбрасывается или принимается iptables. Обратите внимание, что в любое время следует отслеживать только несколько IP-адресов и в течение короткого периода времени, иначе файл журнала будет заполнен этими записями. Чтобы завершить часы, вам придется перезапустить csf, так как часы не выдерживают перезапуска.

    Шаги для просмотра:

    • Go to the config file present in /etc/csf called "csf.conf" this is the config file. Search for "WATCH_MODE" and make the value "1". This enables it.
    • restart the csf and lfd
    • use the following command to watch the ip. Make sure you change the IP shown below to what you want. 
      csf -w 11.22.33.44
    • Watch the kernel iptables log for hits from the watched IP address

    После этого отключите WATCH_MODE и перезапустите csf и lfd. Ниже приведен урезанный пример просмотра журнала 192.168.254.4, подключающегося к порту 22:

    Firewall: I:INPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: O:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22
Firewall: I:LOGACCEPT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22

    7 Разрешить/запретить фильтры для IP-адресов

    csf можно использовать для добавления расширенных разрешающих и запрещающих фильтров, используя следующие

    Разбивка этого формата показана ниже:

    tcp/udp  : EITHER tcp OR udp OR icmp protocol
in/out   : EITHER incoming OR outgoing connections
s/d=port : EITHER source OR destination port number (or ICMP type)
           (use a _ for a port range, e.g. 2000_3000)
s/d=ip   : EITHER source OR destination IP address
u/g=UID  : EITHER UID or GID of source packet, implies outgoing  
           connections, s/d=IP value is ignored

    7.1 Разрешение IP-адресов

    IP-адреса можно исключить по отдельности или в диапазонах, добавив их в файл csf.allow. здесь давайте предположим, что мы хотим добавить диапазон 2.3.*.*, мы представляем, что это нотация CIDR, а также мы хотим разрешить IP 192.168.3.215. для этого используйте следующую команду:

    nano /etc/csf/csf.allow

    добавьте следующие строки (если IP-адрес, который вы хотите, отличается, измените его.)

    2.3.0.0/16
192.168.3.215

    7.2 Блокировка IP-адресов

    Аналогично разрешению IP-адреса или диапазоны IP-адресов могут быть заблокированы. Но помните, что IP-адреса, присутствующие в файле csf.allow, будут разрешены, даже если они присутствуют в файле блокировки. Чтобы заблокировать IP-адреса, используйте тот же процесс, что и для его разрешения, но вместо файла csf.allow введите IP-адреса в файл csf.deny, который находится в каталоге /etc/csf.

    7.3 Игнорирование IP-адресов

    Также возможно игнорировать IP-адреса. То есть IP-адреса, указанные в файле \csf.ignore\, будут обходить брандмауэр, но могут быть заблокированы только в том случае, если они перечислены в файле csf.deny.

    8 Заключение

    Выше приведены лишь некоторые из многих функций, которые предоставляет CSF. Это очень полезно и обеспечивает очень хорошую защиту серверов от атак, а также обеспечивает полный контроль над конфигурацией, чтобы сервер мог работать бесперебойно. Чтобы узнать и использовать многие другие функции CSF, обратитесь к файлу readme.txt в извлеченной папке, в котором дается краткое описание всех функций и способов их использования администратором.