Com instal·lar el tallafoc del servidor de configuració (CSF) a Debian/Ubuntu
ConfigServer and Security Firewall, abreujat com a CSF, és un tallafoc avançat i de codi obert dissenyat per a sistemes Linux. No només proporciona la funcionalitat bàsica d'un tallafoc, sinó que també ofereix una àmplia gamma de funcions complementàries com ara la detecció d'inici de sessió/intrusió, comprovacions d'explotació, protecció de ping de mort i molt més.
[També us pot agradar: 10 tallafocs de seguretat de codi obert útils per a sistemes Linux]
A més, també proporciona integració d'IU per al lloc web oficial de ConfigServer.
En aquesta guia, us guiarem a través de la instal·lació i configuració de ConfigServer Security & Firewall (CSF) a Debian i Ubuntu.
Pas 1: instal·leu CSF Firewall a Debian i Ubuntu
En primer lloc, heu d'instal·lar algunes dependències abans de començar a instal·lar el tallafoc CSF. Al vostre terminal, actualitzeu l'índex de paquets:
$ sudo apt update
A continuació, instal·leu les dependències tal com es mostra:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Amb això fora del camí, ara podeu passar al següent pas.
Com que CSF no s'inclou als dipòsits predeterminats de Debian i Ubuntu, cal que l'instal·leu manualment. Per continuar, descarregueu el fitxer tarball CSF que conté tots els fitxers d'instal·lació mitjançant la següent comanda wget.
$ wget http://download.configserver.com/csf.tgz
Això baixa un fitxer comprimit anomenat csf.tgz.
A continuació, extreu el fitxer comprimit.
$ tar -xvzf csf.tgz
Això crea una carpeta anomenada csf.
$ ls -l
A continuació, navegueu a la carpeta csf.
$ cd csf
A continuació, instal·leu CSF Firewall executant l'script d'instal·lació que es mostra.
$ sudo bash install.sh
Si tot ha anat bé, hauríeu d'obtenir la sortida tal com es mostra.
En aquest punt, s'instal·la CSF. Tanmateix, heu de verificar que els iptables necessaris estiguin carregats. Per aconseguir-ho, executeu l'ordre:
$ sudo perl /usr/local/csf/bin/csftest.pl
Pas 2: configureu el tallafoc CSF a Debian i Ubuntu
Es necessita alguna configuració addicional A continuació, hem de modificar alguns paràmetres per habilitar CSF. Per tant, aneu al fitxer de configuració csf.conf.
$ sudo nano /etc/csf/csf.conf
Editeu la directiva TESTING de 1 a 0 tal com s'indica a continuació.
TESTING = "0"
A continuació, configureu la directiva RESTRICT_SYSLOG a 3 per restringir l'accés rsyslog/syslog només als membres del RESTRICT_SYSLOG_GROUP.
RESTRICT_SYSLOG = "3"
A continuació, podeu obrir els ports TCP i UDP localitzant les directives TCP_IN, TCP_OUT, UDP_IN i UDP_OUT.
Per defecte, s'obren els ports següents.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
És probable que no necessitis que s'obrin tots aquests ports, i les millors pràctiques del servidor exigeixen que només obris els ports que esteu utilitzant. Us recomanem que elimineu tots els ports innecessaris i deixeu els que utilitzen els serveis que s'executen al vostre sistema.
Un cop hàgiu acabat d'especificar els ports que necessiteu, torneu a carregar CSF tal com es mostra.
$ sudo csf -r
Per llistar totes les regles de la taula IP definides al servidor, executeu l'ordre:
$ sudo csf -l
Podeu iniciar i habilitar el tallafoc CSF a l'inici de la següent manera:
$ sudo systemctl start csf $ sudo systemctl enable csf
A continuació, confirmeu que efectivament el tallafoc s'està executant:
$ sudo systemctl status csf
Pas 3: bloquejar i permetre les adreces IP al tallafocs CSF
Una de les funcionalitats clau d'un tallafoc és la possibilitat de permetre o bloquejar l'accés a les adreces IP al servidor. Amb CSF, podeu llistar blanc (permetre), llistar negre (negar) o ignorar adreces IP modificant els fitxers de configuració següents:
- csf.allow
- csf.deny
- csf.ignore
Per bloquejar una adreça IP, només cal accedir al fitxer de configuració csf.deny.
$ sudo nano /etc/csf/csf.deny
A continuació, especifiqueu les adreces IP que voleu bloquejar. Podeu especificar les adreces IP línia per línia tal com es mostra:
192.168.100.50 192.168.100.120
O podeu utilitzar la notació CIDR per bloquejar una subxarxa sencera.
192.168.100.0/24
Per permetre una adreça IP a través d'Iptables i excloure-la de tots els filtres o blocs, editeu el fitxer de configuració csf.allow.
$ sudo nano /etc/csf/csf.allow
Podeu llistar una adreça IP per línia o utilitzar l'adreça CIDR com s'ha demostrat anteriorment quan bloquegeu les IP.
NOTA: Es permetrà una adreça IP encara que estigui definida explícitament al fitxer de configuració csf.deny. Per assegurar-vos que una adreça IP estigui bloquejada o a la llista negra, assegureu-vos que no aparegui a la llista al fitxer csf.allow.
A més, CSF us ofereix la possibilitat d'excloure una adreça IP de taules IP o filtres. Qualsevol adreça IP del fitxer csf.ignore estarà exempta dels filtres iptables. Només es pot bloquejar si s'especifica al fitxer csf.deny.
Per eximir una adreça IP dels filtres, accediu al fitxer csf.ignore.
$ sudo nano /etc/csf/csf.ignore
Una vegada més, podeu llistar les IP línia per línia o utilitzar la notació CIDR.
I això tanca la nostra guia d'avui. Esperem que ara pugueu instal·lar i configurar el tallafocs CSF sense cap problema.