Cách cài đặt CSF (Config Server Firewall) trên Debian 12

[theanh]

CSF hoặc Config Server Firewall là tường lửa Stateful Packet Inspection (SPI) dựa trên IPtables và Perl. Nó cung cấp một quy trình daemon sẽ giám sát các dịch vụ của bạn để xác thực lỗi và cũng cung cấp tích hợp Giao diện người dùng web để quản lý máy chủ dựa trên web như Webmin, cPanel và DirectAdmin.

Trong hướng dẫn này, chúng tôi sẽ hướng dẫn bạn quy trình cài đặt CSF (Config Server Firewall) trên máy chủ Debian 12. Bạn cũng sẽ học cấu hình cơ bản của CSF, chặn địa chỉ IP bằng hai phương pháp khác nhau và thiết lập Giao diện người dùng web CSF để dễ quản lý và giám sát.

Điều kiện tiên quyết​

Để bắt đầu với hướng dẫn này, hãy đảm bảo bạn có những điều sau:

• Máy chủ Debian 12.
• Người dùng không phải root có quyền quản trị viên.

Chuẩn bị hệ thống​

Trước khi cài đặt CSF, bạn phải đảm bảo rằng các gói phụ thuộc đã được cài đặt. Điều này bao gồm các gói như Perl và iptables. Ngoài ra, khi bạn đang chạy một tường lửa khác như UFW (Uncomplicated Firewall), bạn cần phải tắt nó.

Để bắt đầu, hãy chạy lệnh sau để cập nhật kho lưu trữ Debian của bạn.

sudo apt update

Sau khi kho lưu trữ được cập nhật, hãy cài đặt các phụ thuộc sau cho CSF bằng lệnh bên dưới.

sudo apt install libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libwww-perl liblwp-protocol-https-perl libgd-graph-perl

Gõ Y và nhấn ENTER để tiếp tục.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22469%22%3E%3C/svg%3E


Cuối cùng, bạn phải tắt UFW nếu bạn có nó trên máy chủ Debian của mình. Theo mặc định, CSF sử dụng iptables làm tường lửa và bộ lọc gói tin.

sudo ufw disable

Tải xuống và cài đặt CSF​

Trong phần sau, bạn sẽ tải xuống và cài đặt CSF (Config Server Firewall) theo cách thủ công từ nguồn. Vậy, chúng ta hãy bắt đầu.

Tải xuống mã nguồn CSF bằng lệnh wget bên dưới. Bạn sẽ thấy tệp csf.tgz.

wget http://download.configserver.com/csf.tgz

Bây giờ hãy giải nén tệp csf.tgz bằng lệnh tar bên dưới. Mã nguồn CSF sẽ có trong thư mục csf.

sudo tar -xvzf csf.tgz

Tiếp theo, di chuyển đến thư mục csf và thực thi tập lệnh install.sh để bắt đầu cài đặt.

cd csf; sh install.sh

Khi quá trình cài đặt bắt đầu, bạn sẽ nhận được thông báo sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22710%22%20height=%22741%22%3E%3C/svg%3E


Khi quá trình hoàn tất, bạn sẽ nhận được thông báo 'Cài đặt hoàn tất'.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22328%22%3E%3C/svg%3E


Bây giờ CSF đã được cài đặt, hãy xác minh bằng lệnh bên dưới.

perl /usr/local/csf/bin/csftest.pl

Đảm bảo đầu ra OK từ mỗi lần kiểm tra tính năng.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22514%22%20height=%22336%22%3E%3C/svg%3E


Cuối cùng, hãy chạy lệnh sau để xác minh vị trí nhị phân CSF và phiên bản.

which csf
csf -v

Trong kết quả sau, bạn có thể thấy CSF v14.20 được cài đặt trong /usr/sbin/csf.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22167%22%3E%3C/svg%3E

Cấu hình CSF​

Sau khi cài đặt CSF, bạn sẽ tìm hiểu một số cấu hình cơ bản của CSF (Config Server Firewall). Thư mục cấu hình chính cho CSF là thư mục /etc/csf, bạn sẽ tìm thấy tệp cấu hình CSF chính csf.conf.

Sử dụng lệnh nano editor sau để mở tệp cấu hình CSF /etc/csf/csf.conf.

sudo nano /etc/csf/csf.conf

Cho phép lưu lượng truy cập qua CSF​

Tìm các tùy chọn TCP_* và UDP_* và thêm cổng của bạn.

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,853,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,853,80,110,113,443,587,993,995"

# Allow incoming UDP ports
UDP_IN = "20,21,53,853,80,443"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,853,113,123"

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22588%22%20height=%22265%22%3E%3C/svg%3E


Các tùy chọn chi tiết:

• TCP_IN: cho phép lưu lượng truy cập đến các cổng TCP.
• TCP_OUT: cho phép lưu lượng truy cập đi đến các cổng TCP cụ thể.
• UDP_IN: cho phép lưu lượng truy cập đến đến các cổng UDP.
• UDP_OUT: cho phép lưu lượng truy cập đi đến các cổng UDP cụ thể.

Cho phép/Từ chối Yêu cầu Ping hoặc ICMP​

Nếu bạn thực sự cần tắt Ping hoặc ICMP 'IN và OUT', hãy sử dụng các tùy chọn sau. 'ICMP_IN = 1' có nghĩa là ping sẽ được phép và 'ICMP_OUT = 1' có nghĩa là máy chủ có thể ping đến một mạng khác.

# Allow incoming PING. Disabling PING will likely break external uptime
# monitoring
ICMP_IN = "1"
...
# Allow outgoing PING
#
# Unless there is a specific reason, this option should NOT be disabled as it
# could break OS functionality
ICMP_OUT = "1"

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22675%22%20height=%22100%22%3E%3C/svg%3E

Synflood Bảo vệ​

CHỈ BẬT tùy chọn này khi cần, ví dụ như chống lại các cuộc tấn công DOS trên máy chủ của bạn.

###############################################################################
# SECTION:Port Flood Settings
###############################################################################
# Enable SYN Flood Protection. This option configures iptables to offer some
# protection from tcp SYN packet DOS attempts. 
...
SYNFLOOD = "0"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22737%22%20height=%22321%22%3E%3C/svg%3E

Giới hạn kết nối đồng thời​

Tiếp theo, sử dụng tùy chọn 'CONNLIMIT' để giới hạn các kết nối đồng thời cho các cổng cụ thể. Định dạng là 'PORT;LIMIT', vì vậy, ví dụ, cấu hình '22;5' sẽ giới hạn cổng SSH chỉ cho 5 kết nối đồng thời.

# Connection Limit Protection. This option configures iptables to offer more
# protection from DOS attacks against specific ports. It can also be used as a
# way to simply limit resource usage by IP address to specific server services.
# Note: Run /etc/csf/csftest.pl to check whether this option will function on
# this server
CONNLIMIT = "22;5,21;10"

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22738%22%20height=%22359%22%3E%3C/svg%3E

Vô hiệu hóa chế độ TESTING và hạn chế quyền truy cập Syslog​

Bây giờ nếu bạn đã cấu hình mọi thứ và thêm các cổng của mình, hãy thay đổi 'TESTING' thành '1' và hạn chế quyền truy cập vào các socket rsyslog bằng 'RESTRICT_SYSLOG= "3"'.

# lfd will not start while this is enabled
TESTING = "0"

...
# 0 = Allow those options listed above to be used and configured
# 1 = Disable all the options listed above and prevent them from being used
# 2 = Disable only alerts about this feature and do nothing else
# 3 = Restrict syslog/rsyslog access to RESTRICT_SYSLOG_GROUP ** RECOMMENDED **
RESTRICT_SYSLOG = "3"

Khi mọi thứ hoàn tất, hãy lưu tệp và thoát khỏi trình chỉnh sửa.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22423%22%20height=%2282%22%3E%3C/svg%3E

Kiểm tra và khởi động dịch vụ CSF​

Bây giờ hãy chạy lệnh csf bên dưới để xác minh cấu hình của bạn. Nếu bạn có cấu hình CSF phù hợp, bạn sẽ thấy đầu ra của CSF. Ngược lại, bạn sẽ thấy lỗi chi tiết khi cấu hình của bạn không chính xác.

csf -v

Tiếp theo, chạy lệnh systemctl bên dưới để khởi động dịch vụ csf và lfd.

sudo systemctl start csf lfd

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22447%22%20height=%22118%22%3E%3C/svg%3E


Khi dịch vụ csf đang chạy, bạn sẽ tự động bị ngắt kết nối khỏi máy chủ. Bạn có thể đăng nhập lại vào máy chủ, sau đó xác minh cả dịch vụ csf và lfd bằng lệnh bên dưới.

sudo systemctl status csf lfd

Bạn có thể thấy dịch vụ csf đang chạy.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22170%22%3E%3C/svg%3E


Ngoài ra, bạn có thể thấy dịch vụ lfd đang chạy.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22747%22%20height=%22263%22%3E%3C/svg%3E

Chặn qua CSF​

Tại đây điểm, bạn đã học cấu hình cơ bản cho CSF (Config Server Firewall). Bây giờ chúng ta hãy xem xét việc chặn địa chỉ IP thông qua CSF.

Chặn địa chỉ IP thông qua IP BLOCK Lists​

Mở cấu hình danh sách IP BLOCK mặc định /etc/csf/csf.blocklists bằng lệnh nano editor bên dưới.

sudo nano /etc/csf/csf.blocklists

Bỏ chú thích các dòng sau để chặn địa chỉ IP khỏi Spamhaus cơ sở dữ liệu.

# Spamhaus Don't Route Or Peer List (DROP)
# Details: http://www.spamhaus.org/drop/
SPAMDROP|86400|0|http://www.spamhaus.org/drop/drop.txt

# Spamhaus IPv6 Don't Route Or Peer List (DROPv6)
# Details: http://www.spamhaus.org/drop/
SPAMDROPV6|86400|0|https://www.spamhaus.org/drop/dropv6.txt

# Spamhaus Extended DROP List (EDROP)
# Details: http://www.spamhaus.org/drop/
SPAMEDROP|86400|0|http://www.spamhaus.org/drop/edrop.txt

Lưu tệp và thoát khỏi trình chỉnh sửa khi hoàn tất.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22591%22%20height=%22256%22%3E%3C/svg%3E


Dưới đây là một số tùy chọn chi tiết:

• SPAMDROP: tên của khối sẽ được sử dụng làm tên kênh iptables. Chỉ sử dụng CHỮ IN HOA với tối đa 25 ký tự.
• 86400: khoảng thời gian làm mới để tải xuống và gia hạn danh sách chặn địa chỉ IP.
• TỐI ĐA: số địa chỉ IP tối đa sẽ được sử dụng từ danh sách. Giá trị 0 có nghĩa là tất cả IP sẽ được bao gồm.
• URL: URL tải xuống của danh sách chặn liệt kê các địa chỉ IP.

Chặn Địa chỉ IP qua GeoIP​

Một phương pháp khác để chặn địa chỉ IP là qua GeoIP, cho phép bạn chặn lưu lượng truy cập đến từ một quốc gia cụ thể.

Sử dụng lệnh nano editor sau để mở cấu hình CSF '/etc/csf/csf.conf'.

sudo nano /etc/csf/csf.conf

Tìm CC_DENY và CC_ALLOW tham số để thiết lập chặn theo quốc gia thông qua GeoIP.

# Each option is a comma-separated list of CC's, e.g. "US,GB,DE"
CC_DENY = "RU,CN"
CC_ALLOW = "US,GB,DE,NL,SG"

Theo mặc định, CSF sử dụng cơ sở dữ liệu GeoIP từ db-ip, ipdeny và iptoasn. Tuy nhiên, bạn cũng có thể thay đổi thông qua cơ sở dữ liệu GeoIP MaxMind. Để sử dụng cơ sở dữ liệu MaxMind, hãy đổi 'CC_SRC' thành '1', sau đó nhập khóa cấp phép MaxMind của bạn vào tùy chọn 'MM_LICENSE_KEY'.

# MaxMind License Key:
MM_LICENSE_KEY = ""

...

# Set the following to your preferred source:
#
# "1" - MaxMind
# "2" - db-ip, ipdeny, iptoasn
#
# The default is "2" on new installations of csf, or set to "1" to use the
# MaxMind databases after obtaining a license key
CC_SRC = "1"

Lưu tệp và thoát khỏi trình chỉnh sửa khi bạn hoàn tất.

Bây giờ, hãy chạy lệnh sau để xác minh cấu hình CSF. Nếu không có lỗi, bạn sẽ nhận được phiên bản CSF.

sudo csf -v

Tiếp theo, khởi động lại cả dịch vụ csf và lfd bằng lệnh sau.

sudo csf -ra

Bạn sẽ thấy đầu ra như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22395%22%20height=%22487%22%3E%3C/svg%3E


Để đảm bảo cả csf và lfs đều đang chạy, hãy sử dụng lệnh sau để xác minh cả hai dịch vụ.

sudo systemctl status csf lfd

Kích hoạt Giao diện người dùng web CSF​

Trong phần sau, bạn sẽ tìm hiểu cách kích hoạt Giao diện người dùng web CSF để giám sát qua trình duyệt web.

Mở cấu hình CSF bằng trình chỉnh sửa nano sau.

sudo nano /etc/csf/csf.conf

Thay đổi tùy chọn 'UI' thành '1' và bật CSF Web UI. Sau đó, điều chỉnh UI_PORT, UI_IP, UI_USER và UI_PASS bằng thông tin chi tiết của bạn.

#
# 1 to enable, 0 to disable
UI = "1"

...

# Do NOT enable access to this port in TCP_IN, instead only allow trusted IPs
# to the port using Advanced Allow Filters (see readme.txt)
UI_PORT = "1048"

...

# If the server is configured for IPv6 but the IP to bind to is IPv4, then the
# IP address MUST use the IPv6 representation. For example, 1.2.3.4 must use
# ::ffff:1.2.3.4
#
# Leave blank to bind to all IP addresses on the server
UI_IP = "127.0.0.1"

...

# This should be a secure, hard to guess username
#
# This must be changed from the default
UI_USER = "alice"
...
# numbers and non-alphanumeric characters
#
# This must be changed from the default
UI_PASS = "passw0rd"

Lưu tệp và thoát khỏi trình chỉnh sửa khi hoàn tất.

Bây giờ hãy tìm địa chỉ IP công khai của bạn bằng lệnh bên dưới.

curl https://ipinfo.io/

Thêm địa chỉ IP của bạn vào cấu hình '/etc/csf/csf.allow' và '/etc/csf/ui/ui.allow'. Thao tác này sẽ đưa địa chỉ IP công khai của bạn vào danh sách trắng và cho phép bạn truy cập Giao diện người dùng web CSF và máy chủ.

# single ip
192.168.5.1

# subnet
192.168.5.0/24

Sau đó, chạy lệnh bên dưới để xác minh cấu hình CSF và khởi động lại cả dịch vụ csf và lfd.

sudo csf -v
sudo csf -ra

Tiếp theo, xác minh danh sách các địa chỉ IP được đưa vào danh sách trắng trên CSF bằng lệnh bên dưới. Tìm chuỗi iptables ALLOWIN và ALLOWOUT, và bạn sẽ thấy các địa chỉ IP trong danh sách trắng của mình.

sudo csf -l

data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22166%22%3E%3C/svg%3E


Bây giờ hãy mở trình duyệt web của bạn và truy cập địa chỉ IP của máy chủ theo sau là cổng CSF Web UI (tức là: https://192.168.5.15:1048). Nếu cấu hình thành công, bạn sẽ thấy trang đăng nhập CSF.

Nhập tên người dùng và mật khẩu quản trị viên, sau đó nhấp vào ENTER.


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22164%22%3E%3C/svg%3E


Bạn sẽ thấy bảng điều khiển CSF như sau:


data:image/svg+xml,%3Csvg%20xmlns=%22http://www.w3.org/2000/svg%22%20width=%22750%22%20height=%22536%22%3E%3C/svg%3E

Kết luận​

Xin chúc mừng! Bây giờ bạn đã cài đặt thành công CSF (Config Server Firewall) trên máy chủ Debian 12. bạn cũng đã học được cách sử dụng cơ bản của CSF để cho phép lưu lượng truy cập đến một cổng cụ thể, vô hiệu hóa ping hoặc ICMP và thiết lập giới hạn kết nối cho các cổng.

Ngoài ra, bạn cũng đã học cách chặn địa chỉ IP bằng CSF bằng cách sử dụng IP BLOCK Lists và GeoIP. Ngoài ra, bạn đã bật CSF Web UI để dễ dàng quản lý và giám sát máy chủ CSF của mình.