Installa e configura CSF (Config Server Firewall) e proteggi la tua Debian 11.
CSF è uno strumento di sicurezza popolare per Linux per proteggere il server con firewall di ispezione dei pacchetti (SPI) con stato, rilevamento delle intrusioni, un demone di errore di accesso, protezione DDOS e integrazione del pannello di controllo.
In questa guida imparerai come installare e configurare CSF e anche i comandi essenziali per utilizzare il firewall su Debian 11
Configurazione iniziale
Aggiorna i pacchetti del server all'ultimo.
sudo apt update sudo apt dist-upgrade -y
Se stai già utilizzando UFW, che è un firewall di base, rimuovi UFW utilizzando il comando seguente.
sudo apt remove ufw
Installa dipendenze
Installa le dipendenze richieste utilizzate da CSF.
sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
Installa Sendmail che viene utilizzato da CSF per la comunicazione.
Puoi fare riferimento a questa documentazione per la configurazione dettagliata di Sendmail.
sudo apt install sendmail-bin
Ora hai tutte le dipendenze per installare e configurare CSF.
Installa CSF
Vai a /usr/src directory.
Scarica l'ultimo pacchetto utilizzando wget .
sudo wget https://download.configserver.com/csf.tgz
Estrarre il pacchetto scaricato.
sudo tar -xzvf csf.tgz
Ora installa CSF.
cd csf sudo sh install.sh
Ora riceverai un output come di seguito che indica l'avvenuta installazione.
Installation Completed
Verifica se sono presenti i moduli iptables richiesti.
sudo perl /usr/local/csf/bin/csftest.pl
Riceverai un output simile a quello qui sotto.
Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server
Puoi controllare la versione CSF usando il seguente comando.
sudo csf -v csf: v14.15 (generic) *WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
Configura CSF
Una volta installato, il firewall è configurato per essere eseguito in modalità TEST per impostazione predefinita.
Per disabilitare la modalità TEST è necessario apportare modifiche al /etc/csf/csf.conf file.
sudo nano /etc/csf/csf.conf
Individua la riga TESTING ="1" e modifica il valore in "0" .
TESTING = "0"
Individua la riga RESTRICT_SYSLOG ="0" e modifica il valore in "3" . Ciò significa solo membri del RESTRICT_SYSLOG_GROUP può accedere a syslog/rsyslog file.
RESTRICT_SYSLOG = "3"
Premi CTRL+X seguito da Y e ENTER per salvare ed uscire dal file.
Ricarica il liquido cerebrospinale.
csf -ra
Configurazione aggiuntiva
Per consentire connessioni a porte aggiuntive.
Modifica /etc/csf/csf.conf
Individua la direttiva TCP_IN e aggiungi le tue porte.
# Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"
Ho aggiunto la porta MySQL per la connessione a un server remoto.
Riavvia CSF dopo ogni modifica.
sudo csf -ra
Comandi essenziali per gestire CSF
Avvia CSF
sudo csf -s
Interrompi CSF
sudo csf -f
Riavvia CSF
È necessario riavviare CSF ogni volta che il file di configurazione cambia.
sudo csf -ra
Consenti indirizzo IP
Usa il -a opzione per consentire l'indirizzo IP.
sudo csf -a 10.0.2.12
Nega indirizzo IP
Usa il -d opzione per consentire l'indirizzo IP.
sudo csf -d 10.0.2.12
Rimuovi IP dall'elenco consentiti
sudo csf -ar 10.0.2.12
Rimuovi IP dall'elenco negato
sudo csf -dr 10.0.2.12
Verifica se l'IP è bloccato
sudo csf -g IP-ADDRESS
Rimuovi IP dal blocco
sudo css -tr IP-ADDRESS
Elenchi IP consentiti
Aggiungi i tuoi IP elencati su una riga separata nel file di autorizzazione /etc/csf/csf.allow .
Nega elenchi IP
Aggiungi i tuoi IP elencati su una riga separata nel file di autorizzazione /etc/csf/csf.deny .
Conclusione
Ora hai imparato come proteggere il tuo server installando e configurando CSF in Debian 11.
Grazie per il tuo tempo. In caso di problemi o feedback, si prega di lasciare un commento qui sotto.