Comment installer CONFIG Server Firewall (CSF) sur Debian / Ubuntu
- 3296
- 122
- Thomas Richard
Configsenteur et Pare-feu de sécurité, abrégé comme CSF, est un pare-feu open-source et avancé conçu pour les systèmes Linux. Il fournit non seulement la fonctionnalité de base d'un pare-feu, mais offre également un large éventail de fonctionnalités complémentaires telles que la détection de connexion / intrusion, des contrôles d'exploitation, un ping de la protection de la mort et bien plus encore.
[Vous pourriez également aimer: 10 pare-feu de sécurité open source utile pour les systèmes Linux]
De plus, il fournit également une intégration d'interface utilisateur pour des panneaux de contrôle largement utilisés tels que CPanel, Webmin, Vesta CP, CyberPanel et DirectAdmin. Vous pouvez trouver une liste complète des fonctionnalités prises en charge et des systèmes d'exploitation sur le site officiel de Configserver.
Dans ce guide, nous vous guiderons à travers l'installation et la configuration du Sécurité et pare-feu de configuration (CSF) sur Debian et Ubuntu.
Étape 1: Installez le pare-feu CSF sur Debian et Ubuntu
Tout d'abord, vous devez installer certaines dépendances avant de commencer à installer le CSF pare-feu. Sur votre terminal, mettez à jour l'index du package:
$ sudo apt mise à jour
Ensuite, installez les dépendances comme indiqué:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsUtils unzip unzip
Avec cela à l'écart, vous pouvez maintenant passer à l'étape suivante.
Depuis CSF n'est pas inclus dans la valeur par défaut Debian et Ubuntu référentiels, vous devez l'installer manuellement. Pour continuer, téléchargez le CSF Fichier de tarball qui contient tous les fichiers d'installation à l'aide de la commande wget suivante.
$ wget http: // télécharger.configsenteur.com / csf.tgz
Cela télécharge un fichier compressé appelé CSF.tgz.
Télécharger Config Server FirewallEnsuite, extraire le fichier compressé.
$ TAR -XVZF CSF.tgz
Cela crée un dossier appelé CSF.
$ ls -lFichiers de pare-feu Config Server
Ensuite, naviguez dans le CSF dossier.
$ CD CSF
Puis installer CSF Pare-feu en exécutant le script d'installation affiché.
$ sudo bash install.shot
Si tout se passait bien, vous devriez obtenir la sortie comme indiqué.
Installer le pare-feu du serveur de configurationÀ ce point, CSF est installé. Cependant, vous devez vérifier que les iptables requis sont chargés. Pour y parvenir, exécutez la commande:
$ sudo perl / usr / local / csf / bin / csftest.PLListe des règles Iptables CSF
Étape 2: Configurer le pare-feu CSF sur Debian et Ubuntu
Une configuration supplémentaire est nécessaire ensuite, nous devons modifier quelques paramètres pour activer CSF. Alors, dirigez-vous vers le CSF.confli fichier de configuration.
$ sudo nano / etc / csf / csf.confli
Modifier le ESSAI directive de "1" pour "0" Comme indiqué ci-dessous.
Test = "0"Désactiver les tests de LCR
Ensuite, définissez le Restrictif_syslog directive de "3" pour restreindre l'accès à rsyslog / syslog uniquement aux membres du Restricte_syslog_group.
Restrict_syslog = "3"Restreindre l'accès au RSYSLOG CSF
Ensuite, vous pouvez ouvrir TCP et UDP ports en localisant le TCP_IN, TCP_OUT, Udp_in, et Udp_out directives.
Par défaut, les ports suivants sont ouverts.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,53,80,43,93,93,93" Udp_in = "20,21,53,80Ouvrir les ports CSF
Il y a de fortes chances que vous n'ayez pas besoin de tous ces ports ouverts, et les meilleures pratiques de serveur exigent que vous n'ouvrez que les ports que vous utilisez. Nous vous recommandons de supprimer tous les ports inutiles et de laisser ceux qui sont utilisés par les services exécutés sur votre système.
Une fois que vous avez terminé de spécifier les ports dont vous avez besoin, recharger CSF comme montré.
$ sudo csf -r
Pour répertorier toutes les règles de table IP définies sur le serveur, exécutez la commande:
$ sudo csf -l
Vous pouvez commencer et activer le CSF pare-feu sur le démarrage comme suit:
$ sudo systemctl start csf $ sudo systemctl activer csf
Confirmez ensuite qu'en effet, le pare-feu est en cours d'exécution:
$ sudo systemctl status csfVérifier l'état du CSF
Étape 3: Bloquer et autoriser les adresses IP dans le pare-feu CSF
L'une des fonctionnalités clés d'un pare-feu est la possibilité d'autoriser ou de bloquer les adresses IP en accédant au serveur. Avec CSF, vous pouvez la liste blanche (permettre), liste noire (refuser) ou ignorer les adresses IP en modifiant les fichiers de configuration suivants:
- CSF.permettre
- CSF.refuser
- CSF.ignorer
Bloquer une adresse IP dans CSF
Pour bloquer une adresse IP, accédez simplement au CSF.refuser fichier de configuration.
$ sudo nano / etc / csf / csf.refuser
Puis spécifiez les adresses IP que vous souhaitez bloquer. Vous pouvez spécifier les adresses IP ligne par ligne comme indiqué:
192.168.100.50 192.168.100.120
Ou vous pouvez utiliser le Cière notation pour bloquer un sous-réseau entier.
192.168.100.0/24
Autoriser une adresse IP dans CSF
Pour autoriser une adresse IP via iptables et l'exclure de tous les filtres ou blocs, modifiez le CSF.permettre fichier de configuration.
$ sudo nano / etc / csf / csf.permettre
Vous pouvez répertorier une adresse IP par ligne ou utiliser le Cière aborder comme indiqué précédemment lors du blocage des IP.
NOTE: Une adresse IP sera autorisée même lorsqu'elle est explicitement définie dans le CSF.refuser fichier de configuration. Pour vous assurer qu'une adresse IP est bloquée ou sur liste noire, assurez-vous qu'elle n'est pas répertoriée dans le CSF.permettre déposer.
Exclure une adresse IP dans CSF
En outre, CSF vous offre la possibilité d'exclure une adresse IP des iptables ou des filtres. Toute adresse IP dans le CSF.ignorer Le fichier sera exempté des filtres iptables. Il ne peut être bloqué que s'il est spécifié dans le CSF.refuser déposer.
Pour exempter une adresse IP des filtres, accédez au CSF.ignorer déposer.
$ sudo nano / etc / csf / csf.ignorer
Encore une fois, vous pouvez répertorier l'IPS ligne par ligne ou utiliser Cière notation.
Conclusion
Et cela enroule notre guide aujourd'hui. Nous espérons que vous pourrez maintenant installer et configurer le CSF pare-feu sans accroc.
- « 20 commandes NetStat pour la gestion du réseau Linux
- Comment définir une bannière d'avertissement SSH personnalisée et MOTD à Linux »