ConfigServer Security and Firewall (сокр. CSF) - бесплатный инструмент для обеспечения безопасности Вашего сервера.

 

Для корректной работы CSF обязательно наличие Perl с библиотеками Time/HiRes на вашем сервере.

Если данные библиотеки не установлены необходимо выполнить следующие действия:

 

Подключившись по протоколу SSH к серверу необходимо выполнить следующие комманды:

 

apt-get install libwww-perl (установка perl)

perl -e "use Time::HiRes" ()

После проверки/установки Perl приступаем к установке CSF:

Скачиваем архив дистрибутива файервола:

 

wget https://download.configserver.com/csf.tgz

Далее необходимо разархивировать скачанный архив, перейти в его директорию и запустить скрипт установки:

 

tar -xzf csf.tgz

cd csf

sh install.sh

 

Далее будет произведена установка. По завершении установки необходимо проверить наличие обязательных модулей IPTables на вашем VPS одной из команд:

 

perl /etc/csf/csftest.pl

perl /usr/local/csf/bin/csftest.pl

 

По завершению вы должны видеть в окне консоли примерно следующее:

 

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
RESULT: csf should function on this server


Если у вас на сервере существуют иные скрипты IPtables (например, AFD или BFD), то необходимо их удалить с помощью одной из команд:

 

sh /usr/local/csf/bin/remove_apf_bfd.sh

sh disable_apf_bfd.sh

sh /tmp/csf/bin/remove_apf_bfd.sh

 

Если после выполнения одной из команд Вы получите ошибку “файл не найден”, то это значит, что скрипты были установлены ранее. На этом процесс установки завершен.

Настройка CSF

По завершению установки CSF запущен в тестовом режиме. Этот режим рекомендуется отключать только после завершения полного конфигурирования Firewall.

Далее необходимо отредактировать конфигурационный файл /etc/csf/csf.conf , открыв его текстовым редактором:

 

vim /etc/csf/csf.conf

 

Необходимо убедится в том, что порты UDP и TCP открыты для работы.

Для этого в файле конфигурации существуют такие записи:

 

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"

# Allow incoming UDP ports
UDP_IN = "20,21,53"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123"

 

Все иные параметры вы можете изменить согласно вашим требованиям.

 

Для отключения тестового режима работы CSF необходимо изменить в конфигурационном файле значения параметра параметра TESTING на “0”.

Для запуска ConfigServer Security and Firewall используйте команду:

 

csf –s

 

Для перезапуска после изменений в файле конфигурации:

 

csf –r

 

Если необходимо добавить CSF а ватозагрузку операционной системы используйте команду

 

CentOS 6.*:

 

chkconfig --level 235 csf on

 

CentOS 7 / Fedora:

 

systemctl enable csf.service

 

Debian / Ubuntu:

 

update-rc.d csf defaults

 

Конфигурация CSF на этом завершена.

 

Дополнительное конфигурирование

Существуют дополнительные файлы конфигурирования CSF:

csf.allow    - отвечает за белый список IP и CIDR (подсетей) адресов.

csf.deny    - отвечает за черный список IP и CIDR адресов.

csf.ignore    - отвечает за список IP и CIDR адресов, игнорируемых файерволом.


Используя команды csf -h или man csf вы можете получить полную справочную информацию о командах для управления CSF:

 

   
-h Показать справочную информацию
-l Показать список правил для IPv4 адресов
-l6 Показать список правил для IPv6 адресов
-s Активация правил файервола
-f Прекращение действий правил файервола
-r Перезапуск правил
-a Добавить IP адрес в белый список /etc/csf/csf.allow
-ar Убрать IP из белого списка /etc/csf/csf.allow и удалить правило
-d Добавить IP адрес в черный список /etc/csf/csf.deny
-dr Убрать IP из черного списка /etc/csf/csf.deny и удалить правило
-df Удалить и разблокировать все записи из файла /etc/csf/csf.deny
-g Поиск существующих IPv4 и IPv6 правил по IP, CIDR или номеру порта
-c Проверить наличие обновлений для csf, но не устанавливать их
-u Проверить наличие обновлений и если есть - установить
-x Деактивировать csf и lfd
-e Активировать csf и lfd
-v Показать версию CSF

Полную информацию о конфигурировании ConfigServer Security and Firewall вы можете получить на официальном сайте:

http://configserver.com/cp/csf.html

Помог ли вам данный ответ? 4 Пользователи нашли это полезным (6 голосов)

Популярное

Как копировать файлы между двумя FTP-серверами (аккаунтами) напрямую?

Для того, чтобы скопировать файлы между двумя ФТП серверами(аккаунтами) напрямую, не закачивая на...
Изменение порта SSH-доступа на VPS/выделенном сервере

В последнее время участились попытки взлома и подбора пароля к серверам.Во избежание этого...
Изменение порта SSH-доступа на VPS/выделенном сервере

В последнее время участились попытки взлома и подбора пароля к серверам.Во избежание этого...
Что такое Xen виртуализация?

Xen-виртуализация более не предоставляется. Статья находится здесь для истории :) Актуальные...
Защита сайта на WordPress от взлома

Если вы используете CMS WordPress для вашего сайта, то убедитесь, что пароль в админ-панель...