CSF è l'acronimo di ConfigServer Security e Firewall è una delle applicazioni di sicurezza Open Source più utili per i sistemi operativi Linux che viene utilizzata come firewall di ispezione dei pacchetti, accesso e rilevamento delle intrusioni per i server Linux. L'uso di CSF aiuta a proteggere i server da molti attacchi alla sicurezza come gli attacchi di forza bruta. Viene fornito con un servizio chiamato (LFD) Login Failure Daemon che impedisce l'accesso non autorizzato ai demoni di rete controllando l'attività dell'utente per errori di accesso eccessivi che vogliamo limitare l'accesso tramite indirizzo IP per aiutare a prevenire l'accesso ai demoni di rete compromessi. Pertanto, ogni volta che si verifica un numero elevato di tentativi errati da un IP specifico, quell'IP verrà immediatamente bloccato temporaneamente da tutti i servizi sul server.
ConfigServer Security &Firewall sono dotati di molte funzionalità per fornire notifiche di accesso SSH, blocco eccessivo della connessione, errori mod_security, segnalazione di processi sospetti e molti altri.
1) Prerequisiti
CSF può essere installato su qualsiasi distribuzione Linux, ma in questo tutorial lo installeremo e configureremo utilizzando CentOS 7.1 .
Accedi al tuo server Centos 7 con utente root e assicurati di essere connesso a Internet per aggiornare il tuo sistema con gli ultimi aggiornamenti e per installare i pacchetti dipendenti necessari per CSF.
Dopo l'accesso, esegui il comando seguente per l'aggiornamento del sistema.
# yum updateQuindi, per installare i moduli perl necessari per configurare csf su Centos 7, esegui il comando seguente.
# yum -y install perl perl-libwww-perl perl-LWP-Protocol-https perl-GDGraph wget unzip net-tools2) Scarica il pacchetto di installazione CSF
Per scaricare il pacchetto ConfigServer Security &Firewall, eseguire il comando seguente nella directory /usr/src/ come mostrato.
# wget https://download.configserver.com/csf.tgz
Dopo aver scaricato il pacchetto archiviato, eseguire il comando seguente per estrarlo nella stessa directory.
# tar -xzf csf.tgzOra cambia la directory nella cartella estratta e usa il comando list per visualizzare la sua configurazione interna e gli script di installazione come mostrato.
3) Installazione di ConfigServer Security Firewall
Per avviare l'installazione di CSF su CentOS 7, eseguiremo lo script di installazione presente nella stessa directory mostrata sopra.
Eseguiamo il comando seguente come mostrato.
# sh install.sh
Lo script di installazione verificherà i suoi moduli perl di base e l'accesso come root, quindi creerà un numero di directory e compilerà diversi file di configurazione e librerie durante il processo di installazione, come mostrato di seguito.
*** USE_CONNTRACK Enabled
*** IPV6 Enabled
*** IPV6_SPI set to 1
TCP ports currently listening for incoming connections:
22,5432
UDP ports currently listening for incoming connections:
5353,43539
Note: The port details above are for information only, csf hasn't been auto-configured.
Don't forget to:
1. Configure the following options in the csf configuration to suite your server: TCP_*, UDP_*
2. Restart csf and lfd
3. Set TESTING to 0 once you're happy with the firewall, lfd will not run until you do so
Adding current SSH session IP address to the csf whitelist in csf.allow:
Adding 172.xx.xx.xx to csf.allow only while in TESTING mode (not iptables ACCEPT)
*WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
‘lfd.service’ -> ‘/usr/lib/systemd/system/lfd.service’
‘csf.service’ -> ‘/usr/lib/systemd/system/csf.service’
ln -s '/usr/lib/systemd/system/csf.service' '/etc/systemd/system/multi-user.target.wants/csf.service'
ln -s '/usr/lib/systemd/system/lfd.service' '/etc/systemd/system/multi-user.target.wants/lfd.service'
‘/etc/csf/csfwebmin.tgz’ -> ‘/usr/local/csf/csfwebmin.tgz’
Installation CompletedPossiamo vedere che prima del completamento del processo di installazione, csf configura automaticamente le porte già in ascolto inclusa la porta SSH durante l'installazione e quindi inserisce automaticamente nella whitelist l'indirizzo IP connesso, ove possibile, durante l'installazione.
4) Test dei moduli IPTable CSF
Una volta completato il processo di installazione, esegui il comando seguente per verificare lo stato dei moduli iptables richiesti.
# perl /usr/local/csf/bin/csftest.pl
5) Configurazione e utilizzo del liquido cerebrospinale
Per configurare il firewall CSF Su CentOS 7 e altre distribuzioni basate su Red Hat Enterprise Linux (RHEL), il file di configurazione predefinito si trova nella posizione di "/etc/csf/"
I file di configurazione includono il seguente numero di file come mostrato nell'immagine.
Per abilitare il firewall CSF completamente funzionante, configurare il file di configurazione csf predefinito con i seguenti parametri.
[root@centos-7 csf]# vim csf.conf
TESTING = "0"
:wq!Ora specificheremo un indirizzo e-mail per segnalare gli errori dal Demone di errore di accesso apportando le seguenti modifiche alla configurazione.
Dopo aver apportato modifiche alla configurazione, dobbiamo ricaricare i servizi csf utilizzando il comando seguente in modo che le modifiche alla configurazione possano avere effetto.
# csf -rSe vuoi controllare lo stato del servizio csf, esegui il comando seguente.
# service csf status
Esegui il comando seguente per una panoramica completa di tutte le opzioni della riga di comando che usi can con csf.
# csf --help
Conclusione
In questo articolo abbiamo appreso l'installazione, la configurazione e l'utilizzo di ConfigServer Security and Firewall, che è uno degli strumenti open source più utilizzati gratuitamente disponibili per l'installazione su piattaforme Linux. Utilizzando questo strumento possiamo proteggere i nostri server da molte minacce utilizzando le sue semplici configurazioni e comandi. Il suo processo di installazione è molto semplice ed è facile da usare, ecco perché molte organizzazioni preferiscono utilizzare questo strumento. Possiamo anche usarlo e gestirlo dall'interfaccia utente grafica a cui è possibile accedere dopo aver installato lo strumento webmin utilizzando i suoi plug-in disponibili.