ConfigServer Security and Firewall (сокр. CSF) - бесплатный инструмент для обеспечения безопасности Вашего сервера.
Для корректной работы CSF обязательно наличие Perl с библиотеками Time/HiRes на вашем сервере.
Если данные библиотеки не установлены необходимо выполнить следующие действия:
Подключившись по протоколу SSH к серверу необходимо выполнить следующие комманды:
apt-get install libwww-perl (установка perl)
perl -e "use Time::HiRes" ()
После проверки/установки Perl приступаем к установке CSF:
Скачиваем архив дистрибутива файервола:
wget https://download.configserver.com/csf.tgz
Далее необходимо разархивировать скачанный архив, перейти в его директорию и запустить скрипт установки:
tar -xzf csf.tgz
cd csf
sh install.sh
Далее будет произведена установка. По завершении установки необходимо проверить наличие обязательных модулей IPTables на вашем VPS одной из команд:
perl /etc/csf/csftest.pl
perl /usr/local/csf/bin/csftest.pl
По завершению вы должны видеть в окне консоли примерно следующее:
Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
RESULT: csf should function on this server
Если у вас на сервере существуют иные скрипты IPtables (например, AFD или BFD), то необходимо их удалить с помощью одной из команд:
sh /usr/local/csf/bin/remove_apf_bfd.sh
sh disable_apf_bfd.sh
sh /tmp/csf/bin/remove_apf_bfd.sh
Если после выполнения одной из команд Вы получите ошибку “файл не найден”, то это значит, что скрипты были установлены ранее. На этом процесс установки завершен.
Настройка CSF
По завершению установки CSF запущен в тестовом режиме. Этот режим рекомендуется отключать только после завершения полного конфигурирования Firewall.
Далее необходимо отредактировать конфигурационный файл /etc/csf/csf.conf , открыв его текстовым редактором:
vim /etc/csf/csf.conf
Необходимо убедится в том, что порты UDP и TCP открыты для работы.
Для этого в файле конфигурации существуют такие записи:
# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = "20,21,53"
# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123"
Все иные параметры вы можете изменить согласно вашим требованиям.
Для отключения тестового режима работы CSF необходимо изменить в конфигурационном файле значения параметра параметра TESTING на “0”.
Для запуска ConfigServer Security and Firewall используйте команду:
csf –s
Для перезапуска после изменений в файле конфигурации:
csf –r
Если необходимо добавить CSF а ватозагрузку операционной системы используйте команду
CentOS 6.*:
chkconfig --level 235 csf on
CentOS 7 / Fedora:
systemctl enable csf.service
Debian / Ubuntu:
update-rc.d csf defaults
Конфигурация CSF на этом завершена.
Дополнительное конфигурирование
Существуют дополнительные файлы конфигурирования CSF:
csf.allow - отвечает за белый список IP и CIDR (подсетей) адресов.
csf.deny - отвечает за черный список IP и CIDR адресов.
csf.ignore - отвечает за список IP и CIDR адресов, игнорируемых файерволом.
Используя команды csf -h или man csf вы можете получить полную справочную информацию о командах для управления CSF:
-h | Показать справочную информацию |
-l | Показать список правил для IPv4 адресов |
-l6 | Показать список правил для IPv6 адресов |
-s | Активация правил файервола |
-f | Прекращение действий правил файервола |
-r | Перезапуск правил |
-a | Добавить IP адрес в белый список /etc/csf/csf.allow |
-ar | Убрать IP из белого списка /etc/csf/csf.allow и удалить правило |
-d | Добавить IP адрес в черный список /etc/csf/csf.deny |
-dr | Убрать IP из черного списка /etc/csf/csf.deny и удалить правило |
-df | Удалить и разблокировать все записи из файла /etc/csf/csf.deny |
-g | Поиск существующих IPv4 и IPv6 правил по IP, CIDR или номеру порта |
-c | Проверить наличие обновлений для csf, но не устанавливать их |
-u | Проверить наличие обновлений и если есть - установить |
-x | Деактивировать csf и lfd |
-e | Активировать csf и lfd |
-v | Показать версию CSF |
Полную информацию о конфигурировании ConfigServer Security and Firewall вы можете получить на официальном сайте:
http://configserver.com/cp/csf.html