CSF còn được gọi là "Config Server Firewall" là tường lửa miễn phí và nâng cao dành cho hệ thống Linux. Nó đi kèm với một số tính năng bảo mật nâng cao như phát hiện xâm nhập, tràn ngập và đăng nhập. Nó được thiết kế để chống lại nhiều cuộc tấn công, chẳng hạn như quét cổng, tràn ngập SYN và tấn công brute force đăng nhập. Nó cũng cung cấp tích hợp cho cPanel, DirectAdmin và Webmin.
Hướng dẫn này sẽ giải thích về cài đặt CSF, cấu hình cơ bản và các lệnh thiết yếu cho CSF trên Debian 11.
Sau khi tất cả các gói được cập nhật, hãy cài đặt các phụ thuộc bắt buộc khác bằng lệnh sau:
Bạn có thể tải xuống phiên bản CSF mới nhất bằng lệnh sau:
Sau khi tải xuống hoàn tất, hãy giải nén tệp đã tải xuống bằng lệnh sau:
Tiếp theo, hãy thay đổi thư mục thành CSF và chạy tập lệnh install.sh để cài đặt CSF trên máy chủ của bạn.
Sau khi CSF đã được cài đặt, bạn sẽ nhận được kết quả sau:
Sau khi cài đặt, hãy xác minh các mô-đun iptables cần thiết cho CSF bằng lệnh sau:
Nếu mọi thứ đều ổn, bạn sẽ nhận được kết quả sau:
Đầu tiên, tìm dòng TESTING = "1" và thay đổi giá trị thành "0" để bật CSF:
Tiếp theo, tìm dòng RESTRICT_SYSLOG = "0" và thay đổi giá trị thành 3 để thiết lập quyền truy cập vào các tệp syslog/rsyslog chỉ dành cho các thành viên của RESTRICT_SYSLOG_GROUP:
Thêm các cổng mở TCP đến cần thiết của bạn vào dòng sau:
Thêm các cổng TCP đi cần thiết của bạn vào dòng sau:
Thêm các cổng mở UDP đến cần thiết của bạn vào dòng sau:
Thêm các cổng UDP đi theo yêu cầu của bạn vào dòng sau:
Lưu và đóng tệp, sau đó tải lại tường lửa CSF để áp dụng các thay đổi:
Để xóa tường lửa CSF, hãy chạy lệnh sau:
Để liệt kê tất cả các quy tắc IPTABLES do CSF thêm vào, hãy chạy lệnh sau:
Để khởi động CSF và cho phép nó khởi động khi khởi động lại hệ thống, hãy chạy lệnh sau:
Để kiểm tra trạng thái của tường lửa CSF, hãy chạy lệnh sau:
Bạn sẽ nhận được kết quả sau:
Để cho phép một máy chủ cụ thể theo địa chỉ IP, hãy chạy lệnh sau:
Để từ chối một máy chủ cụ thể theo địa chỉ IP, hãy chạy lệnh sau:
Để xóa IP khỏi danh sách cho phép, hãy chạy lệnh sau:
Để xóa IP khỏi danh sách từ chối, hãy chạy lệnh sau:
Bạn có thể thêm IP đáng tin cậy bằng cách chỉnh sửa tệp /etc/csf/csf.allow:
Thêm IP đáng tin cậy của bạn:
Bạn có thể thêm IP không đáng tin cậy bằng cách chỉnh sửa tệp /etc/csf/csf.deny:
Thêm IP không đáng tin cậy của bạn:
Hướng dẫn này sẽ giải thích về cài đặt CSF, cấu hình cơ bản và các lệnh thiết yếu cho CSF trên Debian 11.
Điều kiện tiên quyết
- Máy chủ chạy Debian 11.
- Mật khẩu gốc được cấu hình trên máy chủ.
Bắt đầu
Trước khi bắt đầu, bạn nên cập nhật các gói hệ thống của mình lên phiên bản đã cập nhật. Bạn có thể thực hiện bằng lệnh sau:
Mã:
apt-get update -y
Mã:
apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -yCài đặt CSF trên Debian 11
Theo mặc định, gói CSF không được bao gồm trong kho lưu trữ mặc định của Debian 11. Bạn sẽ cần tải xuống từ trang web chính thức của nó.Bạn có thể tải xuống phiên bản CSF mới nhất bằng lệnh sau:
Mã:
wget http://download.configserver.com/csf.tgz
Mã:
tar -xvzf csf.tgz
Mã:
cd csf
bash install.sh
Mã:
Đừng quên:1. Cấu hình các tùy chọn sau trong cấu hình csf để phù hợp với máy chủ của bạn: TCP_*, UDP_*2. Khởi động lại csf và lfd3. Đặt TESTING thành 0 khi bạn hài lòng với tường lửa, lfd sẽ không chạy cho đến khi bạn thực hiệnThêm địa chỉ IP phiên SSH hiện tại vào danh sách trắng csf trong csf.allow:*CẢNH BÁO* URLGET được đặt để sử dụng LWP nhưng mô-đun perl chưa được cài đặt, chuyển sang sử dụng CURL/WGETChỉ thêm 106.222.22.32 vào csf.allow khi ở chế độ KIỂM TRA (không phải iptables CHẤP NHẬN)*CẢNH BÁO* Chế độ KIỂM TRA được bật - đừng quên tắt chế độ này trong cấu hình'lfd.service' -> '/usr/lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Đã tạo liên kết tượng trưng /etc/systemd/system/multi-user.target.wants/csf.service → /lib/systemd/system/csf.service.Đã tạo liên kết tượng trưng /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Không thể vô hiệu hóa đơn vị: Tệp đơn vị firewalld.service không tồn tại.Không thể dừng firewalld.service: Đơn vị firewalld.service không được tải.Đơn vị firewalld.service không tồn tại, vẫn tiếp tục.Đã tạo liên kết tượng trưng /etc/systemd/system/firewalld.service → /dev/null.'/etc/csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Cài đặt hoàn tất
Mã:
perl /usr/local/csf/bin/csftest.pl
Mã:
Đang kiểm tra ip_tables/iptable_filter...OKĐang kiểm tra ipt_LOG...OKĐang kiểm tra ipt_multiport/xt_multiport...OKĐang kiểm tra ipt_REJECT...OKĐang kiểm tra ipt_state/xt_state...OKĐang kiểm tra ipt_limit/xt_limit...OKĐang kiểm tra ipt_recent...OKĐang kiểm tra xt_connlimit...OKĐang kiểm tra ipt_owner/xt_owner...OKĐang kiểm tra iptable_nat/ipt_REDIRECT...OKĐang kiểm tra iptable_nat/ipt_DNAT...OKKẾT QUẢ: csf sẽ hoạt động trên máy chủ nàyCấu hình CSF
Tiếp theo, bạn sẽ cần cấu hình CSF dựa trên yêu cầu của mình. Bạn có thể cấu hình nó bằng cách chỉnh sửa tệp /etc/csf/csf.conf.
Mã:
nano /etc/csf/csf.conf
Mã:
TESTING = "0"
Mã:
RESTRICT_SYSLOG = "3"
Mã:
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
Mã:
# Cho phép các cổng TCP điTCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
Mã:
# Cho phép các cổng UDP đếnUDP_IN = "20,21,53,80,443"
Mã:
# Cho phép các cổng UDP điUDP_OUT = "20,21,53,113,123"
Mã:
csf -rCác lệnh CSF cơ bản
Để dừng tường lửa CSF, hãy chạy lệnh sau:
Mã:
csf -s
Mã:
csf -f
Mã:
csf -l
Mã:
systemctl start csf
systemctl enable csf
Mã:
systemctl status csf
Mã:
? csf.service - ConfigServer Firewall & Security - csf Đã tải: đã tải (/lib/systemd/system/csf.service; đã bật; cài đặt trước của nhà cung cấp: đã bật) Đang hoạt động: đang hoạt động (đã thoát) kể từ Thứ bảy 2021-09-18 15:42:04 UTC; 11 giây trước Tiến trình: 8022 ExecStart=/usr/sbin/csf --initup (code=exited, status=0/SUCCESS) PID chính: 8022 (code=exited, status=0/SUCCESS) CPU: 705ms18/09 15:42:04 debian11 csf[8022]: ACCEPT all opt in * out lo ::/0 -> ::/018/09 15:42:04 debian11 csf[8022]: LOGDROPOUT all opt in * out !lo ::/0 -> ::/018/09 15:42:04 debian11 csf[8022]: LOGDROPIN all opt in !lo out * ::/0 -> ::/018 tháng 9 15:42:04 debian11 csf[8022]: csf: BẮT ĐẦU tải DNS (IPv4) NHANH CHÓNG18 tháng 9 15:42:04 debian11 csf[8022]: csf: BẮT ĐẦU tải DNS (IPv6) NHANH CHÓNG18 tháng 9 15:42:04 debian11 csf[8022]: LOCALOUTPUT tất cả chọn -- vào * ra !lo 0.0.0.0/0 -> 0.0.0.0/018 tháng 9 15:42:04 debian11 csf[8022]: LOCALINPUT tất cả opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/018/9 15:42:04 debian11 csf[8022]: LOCALOUTPUT tất cả lựa chọn tham gia * ra !lo ::/0 -> ::/018/9 15:42:04 debian11 csf[8022]: LOCALINPUT tất cả lựa chọn tham gia !lo ra * ::/0 -> ::/018/9 15:42:04 debian11 systemd[1]: Hoàn thành Tường lửa ConfigServer & Bảo mật - csf.
Mã:
csf -a 192.168.100.10
Mã:
csf -d 192.168.100.11
Mã:
csf -ar 192.168.100.10
Mã:
csf -dr 192.168.100.11
Mã:
nano /etc/csf/csf.allow
Mã:
192.168.100.10
Mã:
nano /etc/csf/csf.deny
Mã:
192.168.100.11