К основному контенту

Продать автомобиль на запчасти – советы по продаже

🌗 Установите и используйте CSF Firewall на RHEL / CentOS 8

Как мне установить и использовать CSF Firewall на RHEL/CentOS 8 ?

Первое, что вы должны сделать после установки сервера RHEL/CentOS 8, — это настроить брандмауэр и защитить сервер от любых форм злонамеренного доступа.

Самым популярным сервисом межсетевого экрана, используемым в системах на основе RHEL, является Firewalld.

ConfigServer Security & Firewall (CSF) — это мощный межсетевой экран с открытым исходным кодом Stateful Packet Inspection (SPI), приложение для входа/обнаружения вторжений и безопасности для серверов Linux.

Особенности CSF

Вот основные функции ConfigServer Security & Firewall.

  • Простой скрипт SPI iptables firewall
  • Процесс-демон, который проверяет ошибки аутентификации при входе в систему для openSSH, сбоев Mod_security, htpasswd, ftp, imap  и т.д.
  • Блокировка соединения
  • Защита пакетов BOGON
  • Просмотр каталогов и файлов
  • SYN Защита от флуда
  • IDS (система обнаружения вторжений) — последняя строка обнаружения предупреждает вас об изменениях в двоичных файлах системы и приложений
  • Отслеживание и блокировка сканирования портов
  • Обнаружение флудинга портов — для каждого IP-адреса, для обнаружения затопления подключения к порту и смягчения, чтобы помочь блокировать атаки DOS
  • Интеграция пользовательского интерфейса с Cpanel, Webmin и DirectAdmin
  • Распознавание атаки при распределенном входе
  • Поддержка IPv6 с ip6tables
  • Интегрированный интерфейс — для использования конфигурации csf не требуется отдельная панель управления или Apache
  • Интегрирован с брандмауэром CloudFlare
  • И многое другое

Установка CSF Firewall на RHEL/CentOS 8

Если в системе не запущены критически важные приложения, вы можете обновить установленные пакеты и выполнить перезагрузку.

sudo dnf -y update

Когда закончите, установите Perl.

sudo dnf -y install @perl

Проверьте версию Perl.

$ perl -v This is perl 5, version 26, subversion 2 (v5.26.2) built for x86_64-linux-thread-multi (with 52 registered patches, see perl -V for more detail) Copyright 1987-2018, Larry Wall Perl may be copied only under the terms of either the Artistic License or the GNU General Public License, which may be found in the Perl 5 source kit. Complete documentation for Perl, including FAQ lists, should be found on this system using "man perl" or "perldoc perl".If you have access to the Internet, point your browser at http://www.perl.org/, the Perl Home Page.

CSF устанавливается с использованием скрипта автоматизации.

Загрузите его с помощью команды curl.

curl -SL https://download.configserver.com/csf.tgz | tar -xzf -

Перейдите в созданную папку — csf:

cd csf

Запустите установщик.

sudo sh install.sh

Посмотрите пример выходных данных ниже.



Тестовая установка

$ sudo perl /usr/local/csf/bin/csftest.pl Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server

Сконфигурируйте и запустите CSF на RHEL/CentOS 8

Теперь у нас установлен CSF в RHEL/CentOS 8.

Основной файл конфигурации — /etc/csf/csf.conf.

Измените этот файл, чтобы настроить правила и политики брандмауэра.

Смотрите разделы ниже о разрешенных портах TCP и UDP.



Отключить тестирование.

sudo perl -pi -w -e "s/TESTING = \"1\"/TESTING = \"0\"/" /etc/csf/csf.conf

Игнорировать IP-адреса в списке разрешений.

sudo perl -pi -w -e "s/IGNORE_ALLOW = \"0\"/IGNORE_ALLOW = \"1\"/" /etc/csf/csf.conf

Установщик добавит служебные файлы systemd.

Вы можете запустить его, выполнив:

sudo systemctl enable --now csf

Подтвердите статус сервиса.

$ sudo systemctl status csf  ● csf.service - ConfigServer Firewall & Security - csf Loaded: loaded (/usr/lib/systemd/system/csf.service; enabled; vendor preset: disabled) Active: active (exited) since Sun 2019-03-17 09:10:19 EAT; 10h ago Main PID: 783 (code=exited, status=0/SUCCESS) Tasks: 0 (limit: 11510) Memory: 0B CGroup: /system.slice/csf.service Mar 17 09:10:19 rhel8.local csf[783]: ACCEPTall optin * out lo::/0-> ::/0 Mar 17 09:10:19 rhel8.local csf[783]: LOGDROPOUTall optin * out !lo::/0-> ::/0 Mar 17 09:10:19 rhel8.local csf[783]: LOGDROPINall optin !lo out *::/0-> ::/0 Mar 17 09:10:19 rhel8.local csf[783]: csf: FASTSTART loading DNS (IPv4) Mar 17 09:10:19 rhel8.local csf[783]: csf: FASTSTART loading DNS (IPv6) Mar 17 09:10:19 rhel8.local csf[783]: LOCALOUTPUTall opt -- in * out !lo0.0.0.0/0-> 0.0.0.0/0 Mar 17 09:10:19 rhel8.local csf[783]: LOCALINPUTall opt -- in !lo out *0.0.0.0/0-> 0.0.0.0/0 Mar 17 09:10:19 rhel8.local csf[783]: LOCALOUTPUTall optin * out !lo::/0-> ::/0 Mar 17 09:10:19 rhel8.local csf[783]: LOCALINPUTall optin !lo out *::/0-> ::/0 Mar 17 09:10:19 rhel8.local systemd[1]: Started ConfigServer Firewall & Security - csf.

Примеры использования CSF

Блокировать IP или подсеть

sudo csf -d 192.168.0.20  sudo csf -d 192.168.0.0/24

Образец вывода:

Adding 192.168.0.20 to csf.deny and iptables DROP… DROPall opt -- in !lo out *192.168.0.20-> 0.0.0.0/0 LOGDROPOUTall opt -- in * out !lo0.0.0.0/0-> 192.168.0.20

Удалить IP/подсеть из черного списка.

$ sudo csf -dr 192.168.0.20  Removing rule… DROPall opt -- in !lo out *192.168.0.20-> 0.0.0.0/0 LOGDROPOUTall opt -- in * out !lo0.0.0.0/0-> 192.168.0.20

Разрешить IP-адрес на брандмауэре.

$ sudo csf -a192.168.15.15 Adding 192.168.15.15 to csf.allow and iptables ACCEPT… ACCEPTall opt -- in !lo out *192.168.15.15-> 0.0.0.0/0 ACCEPTall opt -- in * out !lo0.0.0.0/0-> 192.168.15.15

Блокировать определенные страны

Отредактируйте строку CC_DENY

# Each option is a comma separated list of CC's, e.g. "US,GB,DE" CC_DENY = "" CC_ALLOW = ""

Просмотреть порты, прослушивающие соединения.

$ sudo csf -p Ports listening for external connections and the executables running behind them: Port/Proto Open ConnPID/User Command LineExecutable 22/tcp 4/64 (789/root) /usr/sbin/sshd -D -oCiphers=aes256-g... /usr/sbin/sshd 80/tcp 4/6- (2580/root)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 80/tcp 4/6- (2583/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 80/tcp 4/6- (2584/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 80/tcp 4/6- (2585/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 80/tcp 4/6- (2804/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 443/tcp4/6- (2580/root)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 443/tcp4/6- (2583/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 443/tcp4/6- (2584/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 443/tcp4/6- (2585/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 443/tcp4/6- (2804/apache)/usr/sbin/httpd -DFOREGROUND/usr/sbin/httpd 3306/tcp -/-- (2474/mysql) /usr/libexec/mysqld --basedir=/usr/usr/libexec/mysqld 68/udp -/-- (761/root) /usr/sbin/NetworkManager --no-daemon/usr/sbin/NetworkManager 161/udp-/-- (3129/root)/usr/sbin/snmpd -LS0-6d -f/usr/sbin/snmpd 323/udp-/-- (768/chrony) /usr/sbin/chronyd /usr/sbin/chronyd

Отправить письмо, когда пользователь входит в систему через SSH

LF_SSH_EMAIL_ALERT = "1"

Установить оповещения по электронной почте

LF_ALERT_TO = "alerts@example.com"

Отправляйте себе электронные письма о проверках безопасности.

csf -m myemail@example.com

Доступ к веб-интерфейсу CSF

CSF имеет встроенный веб-интерфейс, который можно использовать для настройки.

Включите пользовательский интерфейс в файле /etc/csf/csf.conf.

UI = "1"

Вы также можете установить пользовательские значения для:

# Set this to the port that want to bind this service to UI_PORT = "6666" # Leave blank to bind to all IP addresses on the server UI_IP = "" UI_USER = "admin" UI_PASS = "StrongAdminPassword"

Затем добавьте IP-адреса в белый список.

sudo echo "YOUR_IP_ADDRESS" >>/etc/csf/ui/ui.allow

Запустите или перезапустите сервис lfd

$ sudo systemctl enable --now lfd $ systemctl status lfd ● lfd.service - ConfigServer Firewall & Security - lfd Loaded: loaded (/usr/lib/systemd/system/lfd.service; enabled; vendor preset: disabled) Active: active (running) since Sun 2019-03-17 20:05:10 EAT; 33s ago Process: 21213 ExecStart=/usr/sbin/lfd (code=exited, status=0/SUCCESS) Main PID: 21226 (lfd - sleeping) Tasks: 1 (limit: 11510) Memory: 392.1M CGroup: /system.slice/lfd.service └─21226 lfd - sleeping > Mar 17 20:05:10 rhel8.local systemd[1]: Starting ConfigServer Firewall & Security - lfd… Mar 17 20:05:10 rhel8.local systemd[1]: Started ConfigServer Firewall & Security - lfd.

Получите доступ к брандмауэру CSF через настроенный порт.



Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользо

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображе

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone h