A ConfigServer Security & Firewall (CSF) telepítése és konfigurálása Linux rendszeren
Ha bárhol megnézi az IT-vel kapcsolatos álláshirdetéseket, észre fogja venni, hogy folyamatosan kereslet van a biztonsági szakemberek iránt. Ez nem csak azt jelenti, hogy a kiberbiztonság érdekes kutatási terület, hanem nagyon jövedelmező is.
Ezt szem előtt tartva ebben a cikkben elmagyarázzuk, hogyan telepíthető és konfigurálható a ConfigServer Security & Firewall (más néven CSF), egy teljes körű biztonsági csomag Linux, és osszon meg néhány tipikus használati esetet. Ezután használhatja a CSF-et tűzfalként és behatolás-/bejelentkezési hiba észlelő rendszerként, hogy megerősítse a felelős szervereket.
További búcsú nélkül, kezdjük.
A CSF telepítése és konfigurálása Linux alatt
Kezdésként vegye figyelembe, hogy a Perl és a libwww előfeltétele a CSF telepítésének bármely támogatott disztribúcióra (RHEL). > és CentOS, openSUSE, Debian és Ubuntu). Mivel alapértelmezés szerint elérhetőnek kell lennie, nincs szükség teendőre, kivéve, ha a következő lépések egyike végzetes hibát ad vissza (ebben az esetben használja a csomagkezelő rendszert a hiányzó függőségek telepítéséhez).
yum install perl-libwww-perl
apt install libwww-perl
1. lépés – Töltse le a CSF-et
cd /usr/src
wget https://download.configserver.com/csf.tgz
2. lépés – Bontsa ki a CSF tarballt
tar xzf csf.tgz
cd csf
3. lépés – Futtassa a CSF telepítési parancsfájlt
A folyamat ezen része ellenőrzi, hogy minden függőség telepítve van-e, létrehozza a szükséges könyvtárstruktúrákat és fájlokat a webes felülethez, észleli a jelenleg nyitott portokat, és emlékezteti a csf és az lfd< újraindítására. démonokat, miután végzett a kezdeti konfigurációval.
sh install.sh
perl /usr/local/csf/bin/csftest.pl
A fenti parancs várható kimenete a következő:
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK
RESULT: csf should function on this server
4. lépés: Tiltsa le a tűzfalat és konfigurálja a CSF-et
Ha fut, kapcsolja ki a tűzfalat, és állítsa be a CSF-et.
systemctl stop firewalld
systemctl disable firewalld
Módosítsa a TESTING="1"
értéket TESTING="0"
értékre (ellenkező esetben az lfd démon nem indul el), és sorolja fel az engedélyezett bejövő és kimenőket. portokat vesszővel elválasztott listaként (TCP_IN és TCP_OUT) az /etc/csf/csf.conf fájlban, ahogy az alábbi kimeneten látható :
Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab
#
lfd will not start while this is enabled
TESTING = "0"
Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
Ha elégedett a konfigurációval, mentse el a változtatásokat, és térjen vissza a parancssorba.
5. lépés – Indítsa újra és tesztelje a CSF-et
systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v
Ezen a ponton készen állunk a tűzfal és a behatolásészlelési szabályok beállításának megkezdésére, ahogy azt a következőkben tárgyaljuk.
A CSF és a behatolásészlelési szabályok beállítása
Először is meg kell vizsgálnia a jelenlegi tűzfalszabályokat az alábbiak szerint:
csf -l
Leállíthatja vagy újratöltheti őket a következőkkel:
csf -f
csf -r
illetőleg. Ügyeljen arra, hogy memorizálja ezeket a beállításokat – szükség lesz rájuk, különösen a módosítások elvégzése és a csf és az lfd újraindítása után.
1. példa – IP-címek engedélyezése és tiltása
A bejövő kapcsolatok engedélyezése a következőről: 192.168.0.10.
csf -a 192.168.0.10
Hasonlóképpen megtagadhatja a 192.168.0.11 oldalról származó kapcsolatokat.
csf -d 192.168.0.11
Ha szeretné, a fenti szabályok mindegyikét eltávolíthatja.
csf -ar 192.168.0.10
csf -dr 192.168.0.11
Vegye figyelembe, hogy a fenti -ar
vagy -dr
használata hogyan távolítja el az adott IP-címhez társított meglévő engedélyezési és megtagadási szabályokat.
2. példa – A bejövő kapcsolatok korlátozása forrás szerint
A szerver tervezett használatától függően érdemes lehet a bejövő kapcsolatokat egy biztonságos számra korlátozni, portonként. Ehhez nyissa meg az /etc/csf/csf.conf fájlt, és keresse meg a CONNLIMIT kifejezést. Megadhat több portot; kapcsolatpárok vesszővel elválasztva. Például,
CONNLIMIT = "22;2,80;10"
csak 2 és 10 bejövő kapcsolatot engedélyez ugyanabból a forrásból a 22 és 80 TCP-portokra.
3. példa – Figyelmeztetések küldése e-mailben
Számos riasztástípus közül választhat. Keresse meg a EMAIL_ALERT beállításait az /etc/csf/csf.conf fájlban, és győződjön meg arról, hogy "1"
értékre van állítva, hogy megkapja a kapcsolódó figyelmeztetést. Például,
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"
riasztást küld az LF_ALERT_TO-ban megadott címre minden alkalommal, amikor valaki sikeresen bejelentkezik SSH-n keresztül, vagy másik fiókra vált a su paranccsal.
CSF konfigurációs lehetőségek és használat
Az alábbi beállítások a csf konfiguráció módosítására és vezérlésére szolgálnak. A csf összes konfigurációs fájlja az /etc/csf könyvtárban található. Ha módosítja a következő fájlok bármelyikét, a változtatások végrehajtásához újra kell indítania a csf démont.
- csf.conf : A fő konfigurációs fájl a CSF vezérléséhez.
- csf.allow : A tűzfalon engedélyezett IP- és CIDR-címek listája.
- csf.deny : A tiltott IP- és CIDR-címek listája a tűzfalon.
- csf.ignore : A figyelmen kívül hagyott IP- és CIDR-címek listája a tűzfalon.
- csf.*ignore : A felhasználók, IP-címek különböző figyelmen kívül hagyó fájljainak listája.
Távolítsa el a CSF tűzfalat
Ha teljesen el szeretné távolítani a CSF tűzfalat, egyszerűen futtassa a következő szkriptet, amely az /etc/csf/uninstall.sh könyvtárban található.
/etc/csf/uninstall.sh
A fenti parancs teljesen törli a CSF tűzfalat az összes fájllal és mappával együtt.
Összegzés
Ebben a cikkben elmagyaráztuk, hogyan kell telepíteni, konfigurálni és használni a CSFt tűzfalként és behatolásjelző rendszerként. Kérjük, vegye figyelembe, hogy a csf.conf fájl további funkcióit ismerteti.
Ha például webtárhely-szolgáltatással foglalkozik, integrálhatja a CSF-et olyan felügyeleti megoldásokkal, mint a Cpanel, a WHM vagy a jól ismert Webmin.
Kérdése vagy megjegyzése van ezzel a cikkel kapcsolatban? Nyugodtan küldjön nekünk üzenetet az alábbi űrlap segítségével. Várom válaszukat!