Hướng dẫn cài đặt và sử dụng tường lửa CSF

[theanh]

CSF là viết tắt của Configserver security and firewall. CSF là một tập lệnh cấu hình được xây dựng để cung cấp bảo mật tốt hơn cho máy chủ, đồng thời cung cấp nhiều tùy chọn và tính năng cấu hình để cấu hình và bảo mật với các kiểm tra bổ sung nhằm đảm bảo hoạt động trơn tru. Nó giúp khóa quyền truy cập công khai và hạn chế những gì có thể truy cập như chỉ email hoặc chỉ trang web, v.v. Để tăng thêm sức mạnh cho tính năng này, nó đi kèm với một tập lệnh Login Failure Daemon (LFD) chạy liên tục để quét các nỗ lực đăng nhập không thành công vào máy chủ nhằm phát hiện các cuộc tấn công bruteforce. Có một loạt các kiểm tra mở rộng mà lfd có thể thực hiện để giúp cảnh báo người quản trị máy chủ về những thay đổi đối với máy chủ, các vấn đề tiềm ẩn và các thỏa hiệp có thể xảy ra.

LFD cũng chặn các IP nếu có một số lượng lớn các lần đăng nhập không thành công xuất hiện từ IP đó. Việc chặn này chỉ là tạm thời. Nó cũng cho phép người quản trị xem IP bị chặn bằng cách bật dịch vụ cảnh báo qua email. Một số tính năng bao gồm:

• Theo dõi đăng nhập
• Theo dõi quy trình
• Theo dõi thư mục
• Các tính năng Cho phép/Từ chối nâng cao
• Báo cáo chặn
• Bảo vệ chống tràn cổng

Và nhiều tính năng khác nữa. Bài đăng này không đề cập đến tất cả các tính năng và do đó để biết thông tin chi tiết hơn về từng tính năng, hãy đọc tệp "readme.txt" trong thư mục csf mà chúng ta sẽ tải xuống.

2 Tải xuống và cài đặt​

Bước đầu tiên bao gồm xóa bất kỳ phiên bản csf nào trước đó có thể đã được tải xuống và sau đó tải xuống phiên bản mới nhất. Để thực hiện những lệnh này, hãy sử dụng hai lệnh sau:

rm -fv csf.tgz
wget http://www.configserver.com/free/csf.tgz

Bây giờ chúng ta giải nén tệp tar trong thư mục gốc và di chuyển vào thư mục csf.

tar -xzf csf.tgz
 cd csf

Các bước cho đến đây được hiển thị trong hình ảnh bên dưới.



Bây giờ chúng ta đã sẵn sàng để cài đặt, nhưng trước khi có thể, chúng ta sẽ cần có quyền root nếu không chúng ta sẽ không thể cài đặt. Vì vậy, hãy sử dụng lệnh sau để có được quyền root và nhập mật khẩu nếu được yêu cầu.

sudo su

Cài đặt CSF bằng lệnh sau:

sh install.sh

Sau khi cài đặt thành công, đầu ra sẽ trông giống như hình ảnh bên dưới.



Sau khi cài đặt hoàn tất, chúng ta có thể thực hiện xác minh. Để thực hiện, chúng ta kiểm tra xem hệ thống của mình có tất cả các mô-đun iptables cần thiết hay không. Bây giờ khi chạy lệnh này, nó có thể chỉ ra rằng bạn có thể không chạy được tất cả các tính năng nhưng không sao cả. Kiểm tra này có thể được coi là PASS miễn là tập lệnh không báo cáo bất kỳ lỗi FATAL nào. Để kiểm tra, hãy sử dụng lệnh sau:

perl /usr/local/csf/bin/csftest.pl

Kết quả chạy thử nghiệm này của tôi được hiển thị trong hình ảnh bên dưới:

3 Gỡ bỏ các tường lửa khác​

Điều quan trọng là phải gỡ bỏ các tường lửa cũ hơn hoặc bất kỳ tường lửa nào khác được thiết lập để bảo vệ máy chủ. Điều này là do xung đột của các Tường lửa có thể dẫn đến lỗi hoặc không thể truy cập. Bạn cũng không nên cài đặt bất kỳ tường lửa iptables nào khác và nếu nó đã tồn tại, thì nó phải được gỡ bỏ ở giai đoạn này. Hầu hết các hệ thống có khả năng có tường lửa APF+BFD và phải được gỡ bỏ. Vì vậy, hãy sử dụng lệnh sau để phát hiện và xóa chúng nếu chúng tồn tại.

sh /usr/local/csf/bin/remove_apf_bfd.sh

Tôi không cài đặt sẵn, vì vậy đầu ra của lệnh trong hệ thống của tôi trông giống như hình ảnh bên dưới:

4 Gỡ cài đặt CSF và LFD​

Nếu bạn muốn xóa hoàn toàn CSF, chỉ cần sử dụng hai lệnh sau.

cd /etc/csf
 sh uninstall.sh

5 Cấu hình​

CSF được tự động cấu hình sẵn cho cPanel và DirectAdmin và sẽ hoạt động với tất cả các cổng chuẩn được mở. CSF cũng tự động cấu hình cổng SSH của bạn khi cài đặt khi nó chạy trên một cổng không chuẩn. CSF cũng tự động đưa địa chỉ IP được kết nối của bạn vào danh sách trắng khi có thể khi cài đặt. Tuy nhiên, quản trị viên có thể kiểm soát hoàn toàn và csf có thể được cấu hình thủ công để phù hợp với nhu cầu của loại máy chủ.

CSF được cài đặt trong thư mục "/etc/csf" và người dùng cần có quyền root ngay cả khi truy cập vào thư mục. Thư mục này bao gồm tất cả các tệp cần thiết để cấu hình và chạy csf. Trước tiên, "csf.conf" là tệp giúp bật/tắt và quản lý mọi tính năng và cách sử dụng có thể có của csf. Nó xử lý tất cả các cấu hình. Thư mục này cũng chứa nhiều tệp khác nhau như "csf.syslog" chứa nơi lưu trữ các tệp nhật ký, tệp "csf.allow" được sử dụng để cho phép địa chỉ IP vượt qua tường lửa và nhiều tệp khác nữa.

6 Sử dụng CSF để theo dõi địa chỉ IP​

tùy chọn "-w" hoặc "--watch" có thể được sử dụng để theo dõi và ghi nhật ký các gói tin từ một nguồn cụ thể khi chúng đi qua các chuỗi iptables. Tính năng này trở nên cực kỳ hữu ích khi theo dõi địa chỉ IP đó bị loại bỏ hoặc được iptables chấp nhận ở đâu. Lưu ý rằng tại bất kỳ thời điểm nào, chỉ nên theo dõi một vài địa chỉ IP và trong một khoảng thời gian ngắn, nếu không, tệp nhật ký sẽ bị tràn ngập các mục nhập này. Để kết thúc việc theo dõi, bạn sẽ phải khởi động lại csf, vì việc theo dõi không tồn tại sau khi khởi động lại.

Các bước để theo dõi là:

• Đi đến tệp cấu hình có trong /etc/csf có tên là "csf.conf" đây là tệp cấu hình. Tìm kiếm "WATCH_MODE" và đặt giá trị "1". Thao tác này sẽ bật tính năng này.
• khởi động lại csf và lfd
• sử dụng lệnh sau để theo dõi ip. Hãy đảm bảo rằng bạn đã thay đổi IP hiển thị bên dưới thành IP bạn muốn.

  csf -w 11.22.33.44

• Theo dõi nhật ký iptables của kernel để biết các lần truy cập từ địa chỉ IP được theo dõi

Sau khi hoàn tất, hãy tắt WATCH_MODE và khởi động lại csf và lfd. Sau đây là ví dụ về nhật ký giám sát được cắt giảm của 192.168.254.4 kết nối với cổng 22:

Tường lửa: I:INPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: O:GDENYIN SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: O:DSHIELD SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: O:SPAMHAUS SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: O:LOCALINPUT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: O:INVALID SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22Tường lửa: I:LOGACCEPT SRC=192.168.254.4 DST=192.168.254.71 PROTO=TCP DPT=22

7 Cho phép bộ lọc Cho phép/Từ chối trên địa chỉ IP​

csf có thể được sử dụng để thêm bộ lọc cho phép và từ chối nâng cao bằng cách sử dụng sau đây

tcp/udp|in/out|s/d=port|s/d=ip|u=uid

Phân tích định dạng này được hiển thị bên dưới:

tcp/udp : EITHER tcp HOẶC udp HOẶC icmp protocolin/out : EITHER incoming HOẶC outgoing connectionss/d=port : EITHER source HOẶC destination port number (hoặc loại ICMP) (sử dụng _ cho phạm vi cổng, ví dụ: 2000_3000)s/d=ip : EITHER source HOẶC destination IP addressu/g=UID : EITHER UID hoặc GID của gói tin nguồn, ngụ ý kết nối đi, s/d=IP value bị bỏ qua

7.1 Cho phép địa chỉ IP​

Có thể loại trừ địa chỉ IP riêng lẻ hoặc theo phạm vi bằng cách thêm chúng vào tệp csf.allow. ở đây giả sử rằng chúng ta muốn thêm phạm vi 2.3.*.*, chúng ta biểu diễn đây là ký hiệu CIDR và chúng ta cũng muốn cho phép IP 192.168.3.215. để làm như vậy, hãy sử dụng lệnh sau:

nano /etc/csf/csf.allow

thêm các dòng sau (nếu IP bạn muốn khác, hãy thay đổi nó.)

2.3.0.0/16192.168.3.215

7.2 Chặn địa chỉ IP​

Tương tự như cho phép, IP hoặc phạm vi IP có thể bị chặn. Nhưng hãy nhớ rằng IP có trong tệp csf.allow sẽ được phép ngay cả khi nó có trong tệp chặn. Để chặn IP, hãy sử dụng cùng quy trình như khi cho phép nhưng thay vì tệp "csf.allow", hãy nhập IP vào tệp "csf.deny" có trong thư mục /etc/csf.

7.3 Bỏ qua địa chỉ IP​

Bạn cũng có thể bỏ qua địa chỉ IP. Nghĩa là các IP được cung cấp trong tệp "csf.ignore" sẽ vượt qua tường lửa nhưng chỉ có thể bị chặn nếu được liệt kê trong tệp csf.deny.

8 Kết luận​

Trên đây chỉ là một số tính năng trong số nhiều tính năng mà CSF cung cấp. CSF rất hữu ích và cung cấp khả năng bảo mật rất tốt cho máy chủ chống lại các cuộc tấn công, đồng thời cung cấp toàn quyền kiểm soát cấu hình để máy chủ có thể chạy trơn tru. Để tìm hiểu và sử dụng nhiều tính năng khác của CSF, hãy tham khảo tệp readme.txt trong thư mục đã giải nén, tệp này cung cấp mô tả ngắn gọn về tất cả các tính năng và cách quản trị viên có thể sử dụng.