Comment installer CONFIG Server Firewall (CSF) sur Debian / Ubuntu

Configsenteur et Pare-feu de sécurité, abrégé comme CSF, est un pare-feu open-source et avancé conçu pour les systèmes Linux. Il fournit non seulement la fonctionnalité de base d'un pare-feu, mais offre également un large éventail de fonctionnalités complémentaires telles que la détection de connexion / intrusion, des contrôles d'exploitation, un ping de la protection de la mort et bien plus encore.

[Vous pourriez également aimer: 10 pare-feu de sécurité open source utile pour les systèmes Linux]

De plus, il fournit également une intégration d'interface utilisateur pour des panneaux de contrôle largement utilisés tels que CPanel, Webmin, Vesta CP, CyberPanel et DirectAdmin. Vous pouvez trouver une liste complète des fonctionnalités prises en charge et des systèmes d'exploitation sur le site officiel de Configserver.

Dans ce guide, nous vous guiderons à travers l'installation et la configuration du Sécurité et pare-feu de configuration (CSF) sur Debian et Ubuntu.

Étape 1: Installez le pare-feu CSF sur Debian et Ubuntu

Tout d'abord, vous devez installer certaines dépendances avant de commencer à installer le CSF pare-feu. Sur votre terminal, mettez à jour l'index du package:

$ sudo apt mise à jour 

Ensuite, installez les dépendances comme indiqué:

$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsUtils unzip unzip 

Avec cela à l'écart, vous pouvez maintenant passer à l'étape suivante.

Depuis CSF n'est pas inclus dans la valeur par défaut Debian et Ubuntu référentiels, vous devez l'installer manuellement. Pour continuer, téléchargez le CSF Fichier de tarball qui contient tous les fichiers d'installation à l'aide de la commande wget suivante.

$ wget http: // télécharger.configsenteur.com / csf.tgz 

Cela télécharge un fichier compressé appelé CSF.tgz.

Télécharger Config Server Firewall

Ensuite, extraire le fichier compressé.

$ TAR -XVZF CSF.tgz 

Cela crée un dossier appelé CSF.

$ ls -l 

Fichiers de pare-feu Config Server

Ensuite, naviguez dans le CSF dossier.

$ CD CSF 

Puis installer CSF Pare-feu en exécutant le script d'installation affiché.

$ sudo bash install.shot 

Si tout se passait bien, vous devriez obtenir la sortie comme indiqué.

Installer le pare-feu du serveur de configuration

À ce point, CSF est installé. Cependant, vous devez vérifier que les iptables requis sont chargés. Pour y parvenir, exécutez la commande:

$ sudo perl / usr / local / csf / bin / csftest.PL 

Liste des règles Iptables CSF

Étape 2: Configurer le pare-feu CSF sur Debian et Ubuntu

Une configuration supplémentaire est nécessaire ensuite, nous devons modifier quelques paramètres pour activer CSF. Alors, dirigez-vous vers le CSF.confli fichier de configuration.

$ sudo nano / etc / csf / csf.confli 

Modifier le ESSAI directive de "1" pour "0" Comme indiqué ci-dessous.

Test = "0" 

Désactiver les tests de LCR

Ensuite, définissez le Restrictif_syslog directive de "3" pour restreindre l'accès à rsyslog / syslog uniquement aux membres du Restricte_syslog_group.

Restrict_syslog = "3" 

Restreindre l'accès au RSYSLOG CSF

Ensuite, vous pouvez ouvrir TCP et UDP ports en localisant le TCP_IN, TCP_OUT, Udp_in, et Udp_out directives.

Par défaut, les ports suivants sont ouverts.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,53,80,43,93,93,93" Udp_in = "20,21,53,80 

Ouvrir les ports CSF

Il y a de fortes chances que vous n'ayez pas besoin de tous ces ports ouverts, et les meilleures pratiques de serveur exigent que vous n'ouvrez que les ports que vous utilisez. Nous vous recommandons de supprimer tous les ports inutiles et de laisser ceux qui sont utilisés par les services exécutés sur votre système.

Une fois que vous avez terminé de spécifier les ports dont vous avez besoin, recharger CSF comme montré.

$ sudo csf -r 

Pour répertorier toutes les règles de table IP définies sur le serveur, exécutez la commande:

$ sudo csf -l 

Vous pouvez commencer et activer le CSF pare-feu sur le démarrage comme suit:

$ sudo systemctl start csf $ sudo systemctl activer csf 

Confirmez ensuite qu'en effet, le pare-feu est en cours d'exécution:

$ sudo systemctl status csf 

Vérifier l'état du CSF

Étape 3: Bloquer et autoriser les adresses IP dans le pare-feu CSF

L'une des fonctionnalités clés d'un pare-feu est la possibilité d'autoriser ou de bloquer les adresses IP en accédant au serveur. Avec CSF, vous pouvez la liste blanche (permettre), liste noire (refuser) ou ignorer les adresses IP en modifiant les fichiers de configuration suivants:

• CSF.permettre
• CSF.refuser
• CSF.ignorer

Bloquer une adresse IP dans CSF

Pour bloquer une adresse IP, accédez simplement au CSF.refuser fichier de configuration.

$ sudo nano / etc / csf / csf.refuser 

Puis spécifiez les adresses IP que vous souhaitez bloquer. Vous pouvez spécifier les adresses IP ligne par ligne comme indiqué:

192.168.100.50 192.168.100.120 

Ou vous pouvez utiliser le Cière notation pour bloquer un sous-réseau entier.

192.168.100.0/24 

Autoriser une adresse IP dans CSF

Pour autoriser une adresse IP via iptables et l'exclure de tous les filtres ou blocs, modifiez le CSF.permettre fichier de configuration.

$ sudo nano / etc / csf / csf.permettre 

Vous pouvez répertorier une adresse IP par ligne ou utiliser le Cière aborder comme indiqué précédemment lors du blocage des IP.

NOTE: Une adresse IP sera autorisée même lorsqu'elle est explicitement définie dans le CSF.refuser fichier de configuration. Pour vous assurer qu'une adresse IP est bloquée ou sur liste noire, assurez-vous qu'elle n'est pas répertoriée dans le CSF.permettre déposer.

Exclure une adresse IP dans CSF

En outre, CSF vous offre la possibilité d'exclure une adresse IP des iptables ou des filtres. Toute adresse IP dans le CSF.ignorer Le fichier sera exempté des filtres iptables. Il ne peut être bloqué que s'il est spécifié dans le CSF.refuser déposer.

Pour exempter une adresse IP des filtres, accédez au CSF.ignorer déposer.

$ sudo nano / etc / csf / csf.ignorer 

Encore une fois, vous pouvez répertorier l'IPS ligne par ligne ou utiliser Cière notation.

Conclusion

Et cela enroule notre guide aujourd'hui. Nous espérons que vous pourrez maintenant installer et configurer le CSF pare-feu sans accroc.