Как установить и настроить ConfigServer Security and Firewall на Ubuntu



ConfigServer Security and Firewall (CSF) – это свободное программное обеспечение с открытым исходным кодом, которое представляет из себя фаервол и в свою очередь обладает  широким функционалом в сравнении с другими подобными решениями.

Список поддерживаемых операционных систем:

RedHat Enterprise v5 to v7
CentOS v5 to v7
CloudLinux v5 to v7
Fedora v20 to v26
*openSUSE v10, v11, v12
*Debian v3.1 — v9
*Ubuntu v6 to v15
*Slackware v12

Список поддерживаемых виртуальных сервисов:

**Virtuozzo
VMware
Xen
VirtualBox
**OpenVZ
UML
MS Virtual Server
KVM
Установка зависимостей
# apt-get install libwww-perl
Установка CSF

Скачиваем архив:

# wget https://download.configserver.com/csf.tgz

Распаковываем архив:

# tar -xzf csf.tgz

Меняем текущий каталог:

# cd csf

Осуществляем запуск скрипта установки:

# sh install.sh

Теперь необходимо проверить требуемые модули Iptables:

# perl /etc/csf/csftest.pl

Если результат вывод будет пустым, необходимо выполнить следующую команду:

# perl /usr/local/csf/bin/csftest.pl

В результате вы должны увидеть что-то вроде вывода, следующего содержания:

Testing ip_tables/iptable_filter…OK

Testing ipt_LOG…OK

Testing ipt_multiport/xt_multiport…OK

Testing ipt_REJECT…OK

Testing ipt_state/xt_state…OK

Testing ipt_limit/xt_limit…OK

Testing ipt_recent…OK

Testing ipt_owner/xt_owner…OK

Testing iptable_nat/ipt_REDIRECT…OK RESULT: csf should function on this server

Как правило, необходимые модули уже установлены, однако при отсутствии таковых необходимо произвести их установку.

Примечание

Если до использования CSF вы использовали другие модули Iptables [ AFD ; BFD ], необходимо удалить их. Возможные варианты удаления:

# sh /usr/local/csf/bin/remove_apf_bfd.sh

или:

# sh /tmp/csf/bin/remove_apf_bfd.sh

или:

# sh disable_apf_bfd.sh
Настройка CFS

Откроем конфигурационный файл:

# gedit /etc/csf/csf.conf

Теперь необходимо убедиться, что открыты порты TCP и UDP нужные для работы:

# Allow incoming TCP ports
TCP_IN = «20,21,22,25,53,80,110,143,443,465,587,993,995»

# Allow outgoing TCP ports
TCP_OUT = «20,21,22,25,53,80,110,113,443»

# Allow incoming UDP ports
UDP_IN = «20,21,53»

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = «20,21,53,113,123»

Остальные параметры вы можете настраивать по своему усмотрению

Запуск csf

Запустить cfs можно следующей командой:

# csf –s

Сделать reload:

# csf –r

Настроим автозапуск при старте системы:

# update-rc.d csf defaults

Списки csf

csf.allow — «белый» список IP и CIDR (подсетей) адресов.

csf.deny — «черный» список IP и CIDR адресов.

csf.ignore — список IP и CIDR адресов, которые не подлежат проверке и не будут блокироваться файерволом.

csf.*ignore — различные списки игнорирования файлов, пользователей, IP адресов, которые файервол не будет блокировать и проверять.

Каждый из указанных файлов содержит в себе доступное описание того, какие возможности в нем предоставлены и как с ними работать.

Параметры запуска csf

Ниже описанные параметры используются в командной строке следующим образом:

# csf –параметр

Полную справку по CSF можно получить командой csf -h или man csf

Параметр Описание
-h Показать справочную информацию
-l Показать список правил для IPv4 адресов
-l6 Показать список правил для IPv6 адресов
-s Активация правил файервола
-f Прекращение действий правил файервола
-r Перезапуск правил
-a Добавить IP адрес в белый список /etc/csf/csf.allow
-ar Убрать IP из белого списка /etc/csf/csf.allow и удалить правило
-d Добавить IP адрес в черный список /etc/csf/csf.deny
-dr Убрать IP из черного списка /etc/csf/csf.deny и удалить правило
-df Удалить и разблокировать все записи из файла /etc/csf/csf.deny
-g Поиск существующих IPv4 и IPv6 правил по IP, CIDR или номеру порта
-c Проверить наличие обновлений для csf, но не устанавливать их
-u Проверить наличие обновлений и если есть — установить
-x Деактивировать csf и lfd
-e Активировать csf и lfd
-v Показать версию CSF

Отправка комментария

0 Комментарии