GNU/Linux >> Linux Esercitazione >  >> Debian

Come installare Config Server Firewall (CSF) su Debian 11

CSF è anche noto come "Config Server Firewall" è un firewall avanzato e gratuito per sistemi Linux. Viene fornito con alcune funzionalità di sicurezza avanzate come rilevamenti di intrusioni, inondazioni e accessi. È progettato per difendersi da molti attacchi, come scansioni delle porte, SYN flood e attacchi di forza bruta di accesso. Fornisce inoltre l'integrazione per cPanel, DirectAdmin e Webmin.

Questo tutorial spiegherà l'installazione di CSF, la configurazione di base ei comandi essenziali per CSF su Debian 11.

Prerequisiti

  • Un server che esegue Debian 11.
  • Sul server è configurata una password di root.

Per iniziare

Prima di iniziare, si consiglia di aggiornare i pacchetti di sistema alla versione aggiornata. Puoi farlo usando il seguente comando:

apt-get update -y

Una volta aggiornati tutti i pacchetti, installa le altre dipendenze richieste utilizzando il comando seguente:

apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y

Installa CSF su Debian 11

Per impostazione predefinita, il pacchetto CSF ​​non è incluso nel repository predefinito di Debian 11. Dovrai scaricarlo dal suo sito Web ufficiale.

Puoi scaricare l'ultima versione di CSF con il seguente comando:

wget http://download.configserver.com/csf.tgz

Una volta completato il download, estrai il file scaricato con il seguente comando:

tar -xvzf csf.tgz

Quindi, cambia la directory in CSF ed esegui install.sh script per installare CSF nel tuo server.

cd csf
bash install.sh

Una volta installato il CSF, dovresti ottenere il seguente output:

Non dimenticare di:1. Configura le seguenti opzioni nella configurazione csf per adattarle al tuo server:TCP_*, UDP_*2. Riavvia csf e lfd3. Imposta TESTING su 0 una volta che sei soddisfatto del firewall, lfd non verrà eseguito finché non lo fai. Aggiunta dell'indirizzo IP della sessione SSH corrente alla whitelist csf in csf.allow:*WARNING* URLGET impostato per utilizzare LWP ma il modulo perl non è installato, fallback all'uso di CURL/WGETAdding 106.222.22.32 a csf.allow solo in modalità TEST (non iptables ACCEPT)*ATTENZIONE* La modalità TEST è abilitata - non dimenticare di disabilitarla nella configurazione 'lfd.service' -> '/usr /lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Link simbolico creato /etc/systemd/system/multi-user.target.wants/csf .service → /lib/systemd/system/csf.service.Created symlink /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Impossibile disabilitare l'unità :Il file dell'unità firewalld.service non esiste. Impossibile arrestare il firewalld.service:Il servizio dell'unità firewalld.non è caricato. L'unità firewalld.service non esiste, si procede comunque. Creato collegamento simbolico /etc/systemd/system/firewalld.service → /dev /null.'/ecc /csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Installazione completata

Dopo l'installazione, verifica i moduli iptables richiesti per CSF utilizzando il seguente comando:

perl /usr/local/csf/bin/csftest.pl

Se tutto va bene, dovresti ottenere il seguente output:

Testing ip_tables/iptable_filter...OKTesting ipt_LOG...OKTesting ipt_multiport/xt_multiport...OKTesting ipt_REJECT...OKTesting ipt_state/xt_state...OKTesting ipt_limit/xt_limit...OKTesting ipt_recent...OKTesting xt_connlimit.. .OKTesting ipt_owner/xt_owner...OKTesting iptable_nat/ipt_REDIRECT...OKTesting iptable_nat/ipt_DNAT...OKRESULT:csf dovrebbe funzionare su questo server

Configura CSF

Successivamente, dovrai configurare CSF in base ai tuoi requisiti. Puoi configurarlo modificando /etc/csf/csf.conf file.

nano /etc/csf/csf.conf

Innanzitutto, trova la riga TESTING ="1" e modifica il valore in "0" per abilitare il CSF:

PROVA ="0"

Quindi, trova la riga RESTRICT_SYSLOG ="0" e modifica il valore in 3 per impostare l'accesso ai file syslog/rsyslog solo per i membri del RESTRICT_SYSLOG_GROUP :

RESTRICT_SYSLOG ="3"

Aggiungi le porte aperte TCP in ingresso richieste nella riga seguente:

TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"

Aggiungi le porte TCP in uscita richieste nella riga seguente:

# Consenti porte TCP in uscitaTCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"

Aggiungi le porte aperte UDP in entrata richieste nella riga seguente:

# Consenti porte UDP in entrataUDP_IN ="20,21,53,80,443"

Aggiungi le porte UDP in uscita richieste nella riga seguente:

# Consenti porte UDP in uscitaUDP_OUT ="20,21,53,113,123"

Salva e chiudi il file, quindi ricarica il firewall CSF per applicare le modifiche:

csf -r

Comandi CSF di base

Per arrestare il firewall CSF, eseguire il comando seguente:

csf -s

Per svuotare il firewall CSF, eseguire il comando seguente:

csf -f

Per elencare tutte le regole IPTABLES aggiunte da CSF, eseguire il comando seguente:

csf -l

Per avviare il CSF e consentirne l'avvio al riavvio del sistema, eseguire il comando seguente:

systemctl avvia csf
systemctl abilita csf

Per controllare lo stato del firewall CSF, eseguire il comando seguente:

stato systemctl csf

Dovresti ottenere il seguente output:

? csf.service - ConfigServer Firewall &Security - csf Caricato:caricato (/lib/systemd/system/csf.service; abilitato; preimpostazione del fornitore:abilitato) Attivo:attivo (chiuso) da sab 18-09-2021 15:42:04 UTC; 11 secondi fa Processo:8022 ExecStart=/usr/sbin/csf --initup (code=exited, status=0/SUCCESS) PID principale:8022 (code=exited, status=0/SUCCESS) CPU:705msSep 18 15:42:04 debian11 csf[8022]:ACCEPT all opt in * out lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOGDROPOUT tutti opt in * out !lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOGDROPIN tutti opt in !lo out * ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:csf:caricamento FASTSTART DNS (IPv4)18 settembre 15:42:04 debian11 csf[8022]:csf:FASTSTART caricamento DNS (IPv6)18 settembre 15:42:04 debian11 csf[8022]:LOCALOUTPUT tutti opt -- in * out !lo 0.0. 0.0/0 -> 0.0.0.0/018 settembre 15:42:04 debian11 csf[8022]:LOCALINPUT tutti opt -- in !lo out * 0.0.0.0/0 -> 0.0.0.0/0Sep 18 15:42:04 debian11 csf[8022]:LOCALOUTPUT tutti opt in * out !lo ::/0 -> ::/0Sep 18 15:42:04 debian11 csf[8022]:LOCALINPUT tutti opt in !lo out * ::/0 -> ::/018 settembre 15:42:04 debian11 systemd[1]:ConfigServer Firewall e sicurezza finiti - csf.

Per consentire un host specifico in base all'indirizzo IP, eseguire il comando seguente:

csf -a 192.168.100.10

Per negare un host specifico in base all'indirizzo IP, eseguire il comando seguente:

csf -d 192.168.100.11

Per rimuovere l'IP dall'elenco di autorizzazioni, eseguire il comando seguente:

csf -ar 192.168.100.10

Per rimuovere IP dall'elenco negato, eseguire il comando seguente:

csf -dr 192.168.100.11

Puoi aggiungere IP affidabili modificando /etc/csf/csf.allow file:

nano /etc/csf/csf.allow

Aggiungi i tuoi IP affidabili:

192.168.100.10

Puoi aggiungere IP non affidabili modificando /etc/csf/csf.deny file:

nano /etc/csf/csf.deny

Aggiungi i tuoi IP non attendibili:

192.168.100.11

Conclusione

Nella guida sopra, abbiamo spiegato come installare il firewall CSF su Debian 11. Ti mostriamo anche alcuni comandi CSF di base per gestire il tuo traffico. Per ulteriori informazioni, visita la documentazione del CSF.


Debian
  1. Come installare Redis Server su Debian 11

  2. Come installare MySQL 8.0 / 5.7 su Debian 11 / Debian 10

  3. Come installare ProFTPD su Debian 8

  4. Come installare MySQL Server su Debian 9

  5. Come installare Odoo 12 su Debian 9

Come installare CSF (Config Server Firewall) su CentOS 8

Come installare FastPanel su Debian 11

Come installare I2P su Debian Server:

Come installare VNC su Debian 10

Come installare il server VNC su Debian 11

Come installare Config Server Firewall (CSF) su Rocky Linux 8