Įdiekite ir sukonfigūruokite „ConfigServer Security & Firewall“ (CSF) sistemoje „Linux“.


Jei kur nors pažvelgsite į su IT susijusius darbo skelbimus, pastebėsite nuolatinį saugumo specialistų poreikį. Tai ne tik reiškia, kad kibernetinis saugumas yra įdomi studijų sritis, bet ir labai pelninga.

Atsižvelgdami į tai, šiame straipsnyje paaiškinsime, kaip įdiegti ir konfigūruoti ConfigServer Security & Firewall (dar vadinamą CSF) – visapusišką saugos rinkinį, skirtą Linux ir pasidalykite keliais tipiniais naudojimo atvejais. Tada galėsite naudoti CSF kaip užkardą ir įsibrovimo/prisijungimo klaidų aptikimo sistemą, kad sustiprintumėte serverius, už kuriuos esate atsakingi.

Be tolesnio atsisveikinimo, pradėkime.

CSF diegimas ir konfigūravimas sistemoje „Linux“.

Norėdami pradėti, atminkite, kad Perl ir libwww yra būtina sąlyga norint įdiegti CSF bet kuriame iš palaikomų platinimų (RHEL > ir CentOS, openSUSE, Debian ir Ubuntu). Kadangi jis turėtų būti pasiekiamas pagal numatytuosius nustatymus, jums nereikia imtis jokių veiksmų, nebent vienas iš toliau nurodytų veiksmų grąžintų mirtiną klaidą (tokiu atveju naudokite paketų valdymo sistemą trūkstamoms priklausomybėms įdiegti).

yum install perl-libwww-perl
apt install libwww-perl

1 veiksmas – atsisiųskite CSF

cd /usr/src
wget https://download.configserver.com/csf.tgz

2 veiksmas – ištraukite CSF tarbalą

tar xzf csf.tgz
cd csf

3 veiksmas – paleiskite CSF diegimo scenarijų

Ši proceso dalis patikrins, ar įdiegtos visos priklausomybės, sukurs reikiamas žiniatinklio sąsajos katalogų struktūras ir failus, aptiks šiuo metu atidarytus prievadus ir primins iš naujo paleisti csf ir lfd<. demonus, kai baigsite pradinę konfigūraciją.

sh install.sh
perl /usr/local/csf/bin/csftest.pl

Numatoma aukščiau pateiktos komandos išvestis yra tokia:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

4 veiksmas: išjunkite ugniasienę ir sukonfigūruokite CSF

Išjunkite ugniasienę, jei ji veikia, ir sukonfigūruokite CSF.

systemctl stop firewalld
systemctl disable firewalld

Pakeiskite TESTING="1" į TESTING="0" (kitaip nepavyks paleisti lfd demono) ir nurodykite leidžiamus įeinančius ir išeinančius. prievadai kaip kableliais atskirtas sąrašas (atitinkamai TCP_IN ir TCP_OUT) /etc/csf/csf.conf, kaip parodyta toliau pateiktoje išvestyje :

Testing flag - enables a CRON job that clears iptables incase of
configuration problems when you start csf. This should be enabled until you
are sure that the firewall works - i.e. incase you get locked out of your
server! Then do remember to set it to 0 and restart csf when you're sure
everything is OK. Stopping csf will remove the line from /etc/crontab
#
lfd will not start while this is enabled
TESTING = "0"

Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

Kai būsite patenkinti konfigūracija, išsaugokite pakeitimus ir grįžkite į komandinę eilutę.

5 veiksmas – paleiskite iš naujo ir patikrinkite CSF

systemctl restart {csf,lfd}
systemctl enable {csf,lfd}
systemctl is-active {csf,lfd}
csf -v

Šiuo metu esame pasirengę pradėti nustatyti ugniasienę ir įsibrovimo aptikimo taisykles, kaip aptarsime toliau.

CSF ir įsibrovimo aptikimo taisyklių nustatymas

Pirmiausia norėsite patikrinti dabartines ugniasienės taisykles taip:

csf -l

Taip pat galite juos sustabdyti arba iš naujo įkelti naudodami:

csf -f
csf -r

atitinkamai. Būtinai įsiminkite šias parinktis – jų prireiks, kai atliksite pakeitimus ir iš naujo paleisite csf ir lfd.

1 pavyzdys – IP adresų leidimas ir draudimas

Leisti įeinančius ryšius iš 192.168.0.10.

csf -a 192.168.0.10

Taip pat galite atmesti ryšius, kylančius iš 192.168.0.11.

csf -d 192.168.0.11

Jei norite, galite pašalinti visas aukščiau pateiktas taisykles.

csf -ar 192.168.0.10
csf -dr 192.168.0.11

Atkreipkite dėmesį, kaip aukščiau naudojant -ar arba -dr pašalinamos esamos leidimo ir neleidimo taisyklės, susijusios su nurodytu IP adresu.

2 pavyzdys – įeinančių jungčių ribojimas pagal šaltinį

Atsižvelgiant į numatytą serverio naudojimą, galbūt norėsite apriboti gaunamus ryšius saugiu numeriu pagal prievadą. Norėdami tai padaryti, atidarykite /etc/csf/csf.conf ir ieškokite CONNLIMIT. Galite nurodyti kelis prievadus; jungčių poros, atskirtos kableliais. Pavyzdžiui,

CONNLIMIT = "22;2,80;10"

leis tik 2 ir 10 gaunamus ryšius iš to paties šaltinio į TCP prievadus atitinkamai 22 ir 80.

3 pavyzdys – įspėjimų siuntimas el. paštu

Galite pasirinkti kelis įspėjimų tipus. Ieškokite EMAIL_ALERT nustatymų adresu /etc/csf/csf.conf ir įsitikinkite, kad jie nustatyti į 1, kad gautumėte susijusį įspėjimą. Pavyzdžiui,

 
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

bus išsiųstas įspėjimas adresu, nurodytu adresu LF_ALERT_TO kiekvieną kartą, kai kas nors sėkmingai prisijungs per SSH arba persijungs į kitą paskyrą naudodamas komandą su.

CSF konfigūracijos parinktys ir naudojimas

Šios parinktys naudojamos keisti ir valdyti csf konfigūraciją. Visi csf konfigūracijos failai yra kataloge /etc/csf. Jei pakeisite bet kurį iš šių failų, turėsite iš naujo paleisti csf demoną, kad atliktumėte pakeitimus.

  • csf.conf : pagrindinis konfigūracijos failas, skirtas valdyti CSF.
  • csf.allow : užkardoje leidžiamų IP ir CIDR adresų sąrašas.
  • csf.deny : užkardoje uždraustų IP ir CIDR adresų sąrašas.
  • csf.ignore : nepaisomų IP ir CIDR adresų užkardoje sąrašas.
  • csf.*ignoruoti : įvairių ignoruojamų naudotojų failų sąrašas, IP.

Pašalinkite CSF užkardą

Jei norite visiškai pašalinti CSF užkardą, tiesiog paleiskite šį scenarijų, esantį kataloge /etc/csf/uninstall.sh.

/etc/csf/uninstall.sh

Aukščiau pateikta komanda visiškai ištrins CSF užkardą su visais failais ir aplankais.

Santrauka

Šiame straipsnyje paaiškinome, kaip įdiegti, konfigūruoti ir naudoti CSF kaip užkardą ir įsibrovimų aptikimo sistemą. Atminkite, kad daugiau funkcijų aprašyta csf.conf.

Pavyzdžiui, jei užsiimate žiniatinklio prieglobos verslu, galite integruoti CSF su valdymo sprendimais, tokiais kaip Cpanel, WHM arba gerai žinoma Webmin.

Ar turite klausimų ar komentarų apie šį straipsnį? Nedvejodami atsiųskite mums žinutę naudodami žemiau esančią formą. Lauksime jūsų žinučių!