К основному контенту

Как установить и настроить ConfigServer Security and Firewall на Ubuntu



ConfigServer Security and Firewall (CSF) – это свободное программное обеспечение с открытым исходным кодом, которое представляет из себя фаервол и в свою очередь обладает  широким функционалом в сравнении с другими подобными решениями.

Список поддерживаемых операционных систем:

RedHat Enterprise v5 to v7
CentOS v5 to v7
CloudLinux v5 to v7
Fedora v20 to v26
*openSUSE v10, v11, v12
*Debian v3.1 — v9
*Ubuntu v6 to v15
*Slackware v12

Список поддерживаемых виртуальных сервисов:

**Virtuozzo
VMware
Xen
VirtualBox
**OpenVZ
UML
MS Virtual Server
KVM
Установка зависимостей
# apt-get install libwww-perl
Установка CSF

Скачиваем архив:

# wget https://download.configserver.com/csf.tgz

Распаковываем архив:

# tar -xzf csf.tgz

Меняем текущий каталог:

# cd csf

Осуществляем запуск скрипта установки:

# sh install.sh

Теперь необходимо проверить требуемые модули Iptables:

# perl /etc/csf/csftest.pl

Если результат вывод будет пустым, необходимо выполнить следующую команду:

# perl /usr/local/csf/bin/csftest.pl

В результате вы должны увидеть что-то вроде вывода, следующего содержания:

Testing ip_tables/iptable_filter…OK

Testing ipt_LOG…OK

Testing ipt_multiport/xt_multiport…OK

Testing ipt_REJECT…OK

Testing ipt_state/xt_state…OK

Testing ipt_limit/xt_limit…OK

Testing ipt_recent…OK

Testing ipt_owner/xt_owner…OK

Testing iptable_nat/ipt_REDIRECT…OK RESULT: csf should function on this server

Как правило, необходимые модули уже установлены, однако при отсутствии таковых необходимо произвести их установку.

Примечание

Если до использования CSF вы использовали другие модули Iptables [ AFD ; BFD ], необходимо удалить их. Возможные варианты удаления:

# sh /usr/local/csf/bin/remove_apf_bfd.sh

или:

# sh /tmp/csf/bin/remove_apf_bfd.sh

или:

# sh disable_apf_bfd.sh
Настройка CFS

Откроем конфигурационный файл:

# gedit /etc/csf/csf.conf

Теперь необходимо убедиться, что открыты порты TCP и UDP нужные для работы:

# Allow incoming TCP ports
TCP_IN = «20,21,22,25,53,80,110,143,443,465,587,993,995»

# Allow outgoing TCP ports
TCP_OUT = «20,21,22,25,53,80,110,113,443»

# Allow incoming UDP ports
UDP_IN = «20,21,53»

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = «20,21,53,113,123»

Остальные параметры вы можете настраивать по своему усмотрению

Запуск csf

Запустить cfs можно следующей командой:

# csf –s

Сделать reload:

# csf –r

Настроим автозапуск при старте системы:

# update-rc.d csf defaults

Списки csf

csf.allow — «белый» список IP и CIDR (подсетей) адресов.

csf.deny — «черный» список IP и CIDR адресов.

csf.ignore — список IP и CIDR адресов, которые не подлежат проверке и не будут блокироваться файерволом.

csf.*ignore — различные списки игнорирования файлов, пользователей, IP адресов, которые файервол не будет блокировать и проверять.

Каждый из указанных файлов содержит в себе доступное описание того, какие возможности в нем предоставлены и как с ними работать.

Параметры запуска csf

Ниже описанные параметры используются в командной строке следующим образом:

# csf –параметр

Полную справку по CSF можно получить командой csf -h или man csf

Параметр Описание
-h Показать справочную информацию
-l Показать список правил для IPv4 адресов
-l6 Показать список правил для IPv6 адресов
-s Активация правил файервола
-f Прекращение действий правил файервола
-r Перезапуск правил
-a Добавить IP адрес в белый список /etc/csf/csf.allow
-ar Убрать IP из белого списка /etc/csf/csf.allow и удалить правило
-d Добавить IP адрес в черный список /etc/csf/csf.deny
-dr Убрать IP из черного списка /etc/csf/csf.deny и удалить правило
-df Удалить и разблокировать все записи из файла /etc/csf/csf.deny
-g Поиск существующих IPv4 и IPv6 правил по IP, CIDR или номеру порта
-c Проверить наличие обновлений для csf, но не устанавливать их
-u Проверить наличие обновлений и если есть — установить
-x Деактивировать csf и lfd
-e Активировать csf и lfd
-v Показать версию CSF

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользователям пр…

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображений PNG, J…

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone https://gith…