Installéieren a konfiguréieren ConfigServer Security & Firewall (CSF) op Linux

Wann Dir IT-bezunnen Aarbechtsplazen iwwerall kuckt, mierkt Dir eng stänneg Nofro fir Sécherheetsprofien. Dëst bedeit net nëmmen datt Cybersécherheet en interessant Studieberäich ass, awer och e ganz lukrativ.

Mat deem vergiessen, wäerte mir an dësem Artikel erkläre wéi Dir ConfigServer Security & Firewall installéiere an konfiguréieren (och bekannt als CSF fir kuerz), eng vollstänneg Sécherheetssuite fir Linux, an e puer typesch Benotzungsfäll deelen. Dir wäert dann fäeg sinn CSF als Firewall an Intrusioun/Login Feeler Detektiounssystem ze benotzen fir d'Serveren ze härden fir déi Dir verantwortlech sidd.

Ouni weider Adieu, loosst eis ufänken.

Installéieren a konfiguréieren CSF op Linux

Fir unzefänken, notéiert w.e.g. datt Perl a libwww eng Viraussetzung ass fir CSF op eng vun den ënnerstëtzten Distributiounen ze installéieren (RHEL an CentOS, openSUSE, Debian, an Ubuntu). Well et als Standard verfügbar sollt sinn, gëtt et keng Handlung vun Ärem Deel erfuerderlech ausser wann ee vun de folgende Schrëtt e fatale Feeler zréckkënnt (an deem Fall benotzt de Package Management System fir déi fehlend Ofhängegkeeten z'installéieren).

# yum install perl-libwww-perl
# apt install libwww-perl

# cd /usr/src
# wget https://download.configserver.com/csf.tgz

# tar xzf csf.tgz
# cd csf

Dësen Deel vum Prozess kontrolléiert datt all Ofhängegkeeten installéiert sinn, erstellt déi néideg Verzeechnesstrukturen a Dateien fir d'Webinterface, entdeckt déi aktuell oppe Ports, an erënnert Iech drun, d'CSF- a lfd-Dämonen nei ze starten nodeems Dir mat der initialer Konfiguratioun fäerdeg sidd.

# sh install.sh
# perl /usr/local/csf/bin/csftest.pl

Den erwaarten Ausgang vum uewe genannte Kommando ass wéi follegt:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

Deaktivéiert Firewalld wann Dir leeft a CSF konfiguréieren.

# systemctl stop firewalld
# systemctl disable firewalld

Ännert TESTING = \1\ op TESTING = \0\ (soss wäert de lfd Daemon net starten) a lëscht erlaabt erakommen an erausgaang Ports als e komma-getrennte Lëscht (TCP_IN an TCP_OUT, respektiv) an /etc/csf/csf.conf wéi an der ënnen Ausgab gewisen:

# Testing flag - enables a CRON job that clears iptables incase of
# configuration problems when you start csf. This should be enabled until you
# are sure that the firewall works - i.e. incase you get locked out of your
# server! Then do remember to set it to 0 and restart csf when you're sure
# everything is OK. Stopping csf will remove the line from /etc/crontab
#
# lfd will not start while this is enabled
TESTING = "0"

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

Wann Dir mat der Konfiguratioun zefridden sidd, späichert d'Ännerungen a gitt zréck op d'Kommandozeil.

# systemctl restart {csf,lfd}
# systemctl enable {csf,lfd}
# systemctl is-active {csf,lfd}
# csf -v

Zu dësem Zäitpunkt si mir prett fir d'Firewall an d'Intrusiounserkennungsreegelen opzestellen wéi déi nächst diskutéiert.

CSF an Intrusion Detection Regelen opsetzen

Als éischt wëllt Dir déi aktuell Firewall Reegele wéi follegt iwwerpréiwen:

# csf -l

Dir kënnt se och stoppen oder se nei lueden mat:

# csf -f
# csf -r

respektiv. Vergewëssert Iech dës Optiounen z'erënneren - Dir wäert se brauchen wéi Dir weider geet, besonnesch fir ze kontrolléieren nodeems Dir Ännerungen gemaach hutt an csf an lfd nei starten.

Erlaabt erakommen Verbindunge vum 192.168.0.10.

# csf -a 192.168.0.10

Ähnlech kënnt Dir Verbindunge refuséieren, déi aus 192.168.0.11 kommen.

# csf -d 192.168.0.11

Dir kënnt all eenzel vun den uewe genannte Regelen ewechhuelen wann Dir dat wëllt maachen.

# csf -ar 192.168.0.10
# csf -dr 192.168.0.11

Notéiert wéi d'Benotzung vun -ar oder -dr uewendriwwer existent Erlaaben an Oflehnungsregelen, déi mat enger bestëmmter IP Adress verbonne sinn, läscht.

Ofhängeg vun der virgesinner Notzung vun Ärem Server, kënnt Dir op eng Portbasis erakommen Verbindungen op eng sécher Zuel limitéieren. Fir dat ze maachen, oppen /etc/csf/csf.conf a sichen no CONNLIMIT. Dir kënnt MÉI port uginn; Verbindungspaar duerch Komma getrennt. Zum Beispill,

CONNLIMIT = "22;2,80;10"

wäert erlaben nëmmen 2 an 10 Entréeën Verbindungen aus der selwechter Quell ze TCP Häfen 22 respektiv 80.

Et gi verschidde Alarmtypen déi Dir kënnt wielen. Kuckt no EMAIL_ALERT Astellungen an /etc/csf/csf.conf a gitt sécher datt se op \1\ gesat sinn fir déi assoziéiert Alarm ze kréien. Zum Beispill,

 
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

wäert eng Alarm op d'Adress geschéckt ginn, déi am LF_ALERT_TO spezifizéiert ass, all Kéier wann een sech erfollegräich iwwer SSH aloggen oder op en anere Kont wiesselt mat su Kommando.

CSF Configuratioun Optiounen a Benotzung

Dës folgend Optioune gi benotzt fir d'CSF Konfiguratioun z'änneren an ze kontrolléieren. All d'Konfiguratiounsdateien vun csf sinn ënner /etc/csf Verzeichnis. Wann Dir eng vun den folgenden Dateien ännert, musst Dir den csf-Daemon nei starten fir Ännerungen ze huelen.

  • csf.conf : D'Haaptkonfiguratiounsdatei fir CSF ze kontrolléieren.
  • csf.allow : D'Lëscht vun erlaabt IP'en an CIDR Adressen op der Firewall.
  • csf.deny : D'Lëscht vun verweigerten IPen an CIDR Adressen op der Firewall.
  • csf.ignore : D'Lëscht vun ignoréierten IP'en an CIDR Adressen op der Firewall.
  • csf.*ignore : D'Lëscht vu verschiddenen Ignoratiounsdateien vun de Benotzer, IP'en.

Ewechzehuelen CSF Firewall

Wann Dir d'CSF Firewall komplett wëllt läschen, fuert just de folgende Skript ënner /etc/csf/uninstall.sh Verzeechnes.

# /etc/csf/uninstall.sh

Deen uewe genannte Kommando läscht d'CSF Firewall komplett mat all de Fichieren an Ordner.

An dësem Artikel hu mir erkläert wéi Dir CSF als Firewall an Intrusiounserkennungssystem installéiere kënnt, konfiguréieren a benotzt. Notéiert w.e.g. datt méi Features an csf.conf duergestallt ginn.

Zum Beispill, Wann Dir am Webhostinggeschäft sidd, kënnt Dir CSF mat Gestiounsléisungen wéi Webmin integréieren.

Hutt Dir Froen oder Kommentaren iwwer dësen Artikel? Schéckt eis gratis e Message mam Formulaire hei ënnen. Mir freeën eis vun Iech ze héieren!