Hvernig á að setja upp Config Server Firewall (CSF) á Debian/Ubuntu

ConfigServer and Security Firewall, skammstafað sem CSF, er opinn og háþróaður eldveggur hannaður fyrir Linux kerfi. Það veitir ekki aðeins grunnvirkni eldveggs heldur býður einnig upp á breitt úrval af viðbótareiginleikum eins og innskráningu/innbrotsgreiningu, hagnýtingarathugunum, ping af dauðavernd og svo margt fleira.

[Þér gæti líka líkað við: 10 gagnlegir opinn uppspretta öryggiseldveggir fyrir Linux kerfi ]

Að auki veitir það einnig UI samþættingu fyrir opinbera vefsíðu ConfigServer.

Í þessari handbók munum við leiða þig í gegnum uppsetningu og stillingu ConfigServer Security & Firewall (CSF) á Debian og Ubuntu.

Skref 1: Settu upp CSF eldvegg á Debian og Ubuntu

Í fyrsta lagi þarftu að setja upp nokkur ósjálfstæði áður en þú byrjar að setja upp CSF eldvegginn. Uppfærðu pakkavísitöluna á flugstöðinni þinni:

$ sudo apt update

Næst skaltu setja upp ósjálfstæðin eins og sýnt er:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Með það úr vegi geturðu nú haldið áfram í næsta skref.

Þar sem CSF er ekki innifalið í sjálfgefnum Debian og Ubuntu geymslum þarftu að setja það upp handvirkt. Til að halda áfram skaltu hlaða niður CSF tarball skránni sem inniheldur allar uppsetningarskrárnar með því að nota eftirfarandi wget skipun.

$ wget http://download.configserver.com/csf.tgz

Þetta hleður niður þjappaðri skrá sem heitir csf.tgz.

Næst skaltu draga þjappaða skrána út.

$ tar -xvzf csf.tgz

Þetta býr til möppu sem heitir csf.

$ ls -l

Næst skaltu fletta í csf möppuna.

$ cd csf

Settu síðan upp CSF Firewall með því að keyra uppsetningarforskriftina sem sýnt er.

$ sudo bash install.sh

Ef allt gekk í lagi ættirðu að fá úttakið eins og sýnt er.

Á þessum tímapunkti er CSF sett upp. Hins vegar þarftu að staðfesta að nauðsynlegar iptables séu hlaðnar. Til að ná þessu skaltu keyra skipunina:

$ sudo perl /usr/local/csf/bin/csftest.pl

Skref 2: Stilltu CSF eldvegg á Debian og Ubuntu

Nokkrar viðbótarstillingar eru nauðsynlegar. Næst þurfum við að breyta nokkrum stillingum til að virkja CSF. Svo skaltu fara yfir í csf.conf stillingarskrána.

$ sudo nano /etc/csf/csf.conf

Breyttu TESTING tilskipuninni úr „1“ í „0“ eins og sýnt er hér að neðan.

TESTING = "0"

Næst skaltu stilla RESTRICT_SYSLOG tilskipunina á „3“ til að takmarka rsyslog/syslog aðgang aðeins við meðlimi RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Næst geturðu opnað TCP og UDP tengi með því að finna TCP_IN, TCP_OUT, UDP_IN og UDP_OUT tilskipanirnar.

Sjálfgefið er að eftirfarandi tengi eru opnuð.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

Líkurnar eru á því að þú þurfir ekki að opna allar þessar gáttir og bestu starfsvenjur miðlara krefjast þess að þú opnir aðeins höfnin sem þú ert að nota. Við mælum með að þú fjarlægir allar óþarfa höfn og skilur eftir þær sem eru notaðar af þjónustunum sem keyra á kerfinu þínu.

Þegar þú ert búinn að tilgreina höfnin sem þú þarft skaltu endurhlaða CSF eins og sýnt er.

$ sudo csf -r

Til að skrá allar IP-töflureglur sem skilgreindar eru á þjóninum skaltu keyra skipunina:

$ sudo csf -l

Þú getur ræst og virkjað CSF eldvegginn við ræsingu sem hér segir:

$ sudo systemctl start csf
$ sudo systemctl enable csf

Staðfestu síðan að eldveggurinn sé í gangi:

$ sudo systemctl status csf

Skref 3: Loka og leyfa IP tölur í CSF eldvegg

Einn af lykilaðgerðum eldveggs er hæfileikinn til að leyfa eða loka fyrir IP-tölur frá aðgangi að þjóninum. Með CSF geturðu hvítlista (leyft), svartan lista (hafna) eða hunsað IP tölur með því að breyta eftirfarandi stillingarskrám:

  • csf.allow
  • csf.neta
  • csf.ignore

Til að loka á IP tölu skaltu einfaldlega opna csf.deny stillingarskrána.

$ sudo nano /etc/csf/csf.deny

Tilgreindu síðan IP-tölurnar sem þú vilt loka á. Þú getur tilgreint IP vistföngin línu fyrir línu eins og sýnt er:

192.168.100.50
192.168.100.120

Eða þú getur notað CIDR merkinguna til að loka fyrir heilt undirnet.

192.168.100.0/24

Til að leyfa IP tölu í gegnum Iptables og útiloka það frá öllum síum eða kubbum skaltu breyta csf.allow stillingaskránni.

$ sudo nano /etc/csf/csf.allow

Þú getur skráð IP-tölu fyrir hverja línu, eða notað CIDR vistföng eins og áður hefur verið sýnt fram á þegar lokað er á IP-tölur.

ATHUGIÐ: IP vistfang verður leyft jafnvel þó það sé sérstaklega skilgreint í csf.deny stillingarskránni. Til að tryggja að IP-tala sé læst eða á svörtum lista skaltu ganga úr skugga um að það sé ekki skráð í csf.allow skránni.

Að auki veitir CSF þér möguleika á að útiloka IP tölu frá IPtöflum eða síum. Allar IP tölur í csf.ignore skránni verða undanþegnar iptables síunum. Það er aðeins hægt að loka því ef það er tilgreint í csf.deny skránni.

Til að undanþiggja IP tölu frá síunum skaltu opna csf.ignore skrána.

$ sudo nano /etc/csf/csf.ignore

Enn og aftur geturðu skráð IP-tölurnar línu fyrir línu eða notað CIDR-merki.

Og það lýkur leiðarvísinum okkar í dag. Við vonum að þú getir nú sett upp og stillt CSF eldvegginn án áfalls.