Install-and-Configure-ConfigServer-Security-&-Firewall-(CSF)-in-Linux

Установка и настройка ConfigServer Security & Firewall (CSF) в Linux

Firewall

Если вы поищете вакансии, связанные с ИТ, вы заметите преобладающий спрос на профессионалов в области безопасности. Это означает, что кибербезопасность является не только интересной областью изучения, но еще и очень прибыльной, как ИТшнику стать специалистом по кибербезопасности и начать зарабатывать больше $ 2 000 всего за 4 месяца.

В этой статье мы расскажем, как установить и настроить ConfigServer Security & Firewall (также известный как CSF), полнофункциональный пакет безопасности для Linux. Также мы поделимся с вами несколькими типичными примерами использования CSF.

Давайте скорее начнём!

 

Установка и настройка CSF в Linux

Для начала обратите внимание, что Perl и libwww являются предварительным условием для установки CSF в любом из поддерживаемых дистрибутивов (RHEL и CentOS, openSUSE, Debian и Ubuntu). Поскольку CSF доступен по умолчанию, с вашей стороны не требуется никаких действий, если один из следующих шагов не приведет к фатальной ошибке (в этом случае используйте систему управления пакетами для установки отсутствующих зависимостей).

# yum install perl-libwww-perl
# apt install libwww-perl

 

Шаг 1 — Загрузка CSF

# cd /usr/src
# wget https://download.configserver.com/csf.tgz

 

Шаг 2 — Извлечение архива CSF

# tar xzf csf.tgz
# cd csf

 

Шаг 3 — Запуск сценария установки CSF

Эта часть процесса проверяет, установлены ли все зависимости, создаются необходимые структуры каталогов и файлы для веб-интерфейса, обнаруживаются открытые порты и вам напоминается о необходимости перезапустить демоны csf и lfd после того, как вы закончите с начальной конфигурацией.

# sh install.sh
# perl /usr/local/csf/bin/csftest.pl

 

Ожидаемый вывод вышеприведенной команды выглядит следующим образом:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

 

 

Шаг 4: Отключение брандмауэра и настройка CSF

Отключите firewalld при запуске и настройке CSF:

# systemctl stop firewalld
# systemctl disable firewalld

 

Измените TESTING = «1» на TESTING = «0» (в противном случае демон lfd не запустится) а параметр list разрешает входящие и исходящие порты в виде списка с разделителями-запятыми (TCP_IN и TCP_OUT соответственно) в /etc/csf/csf.conf, как показано в следующем выводе:

# Testing flag - enables a CRON job that clears iptables incase of
# configuration problems when you start csf. This should be enabled until you
# are sure that the firewall works - i.e. incase you get locked out of your
# server! Then do remember to set it to 0 and restart csf when you're sure
# everything is OK. Stopping csf will remove the line from /etc/crontab
#
# lfd will not start while this is enabled
TESTING = "0"

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

 

 

Когда вы будете довольны полученной конфигурацией, сохраните изменения и вернитесь в командную строку.

Шаг 5 — Перезапустите и протестируйте CSF

# systemctl restart {csf,lfd}
# systemctl enable {csf,lfd}
# systemctl is-active {csf,lfd}
# csf -v

 

Test-Config-Security-Firewall

 

 

На этом этапе мы готовы начать настройку правил брандмауэра и обнаружения угроз извне.

 

Настройка CSF и правил обнаружения вторжений

Прежде всего, вам необходимо проверить текущие правила брандмауэра:

# csf -l

 

 

Вы также можете остановить или перезагрузить их, соответственно:

# csf -f
# csf -r

 

Обязательно запомните эти параметры — вам они еще не раз понадобятся. В частности, чтобы проверить полученную конфигурацию после внесения изменений и перезапуска csf и lfd.

 

Пример 1 — Разрешение и запрет IP-адресов

Чтобы включить входящие соединения с 192.168.0.10:

# csf -a 192.168.0.10

 

Аналогично, вы можете запретить исходящие соединения из 192.168.0.11:

# csf -d 192.168.0.11

 

Вы можете удалить каждое из вышеуказанных правил, если только захотите:

# csf -ar 192.168.0.10
# csf -dr 192.168.0.11

 

CSF-Allow-and-Deny-IP-Address

 

 

Обратите внимание, как используются -ar и -dr. В выводе выше они удаляют существующие правила allow и deny, связанные с данным IP-адресом.

 

Пример 2 — Ограничение входящих соединений по источнику

В зависимости от предполагаемого использования вашего сервера вы можете ограничить входящие соединения безопасным номером порта. Для этого откройте /etc/csf/csf.conf и выполните поиск CONNLIMIT. Вы можете указать несколько портов; пары соединений, разделенные запятыми. Например:

CONNLIMIT = "22;2,80;10"

 

Будет разрешены только 2 и 10 входящих соединений от одного и того же источника к портам TCP:  22 и 80 соответственно.

 

Пример 3 — Отправка оповещений по электронной почте

Существует несколько типов предупреждений, которые вы можете выбрать. Найдите настройки EMAIL_ALERT в /etc/csf/csf.conf и убедитесь, что они установлены в «1», чтобы получить соответствующее оповещение в случае внешнего вмешательства. Например:

LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

 

В случае нарушений. данная конфигурация приведет к отправке предупреждения на адрес, указанный в LF_ALERT_TO, в том числе каждый раз, когда кто-то успешно войдет в систему через SSH или переключится на другую учетную запись, используя команду su.

 

Параметры конфигурации CSF и их использование

Следующие параметры используются для изменения и управления конфигурацией csf. Все файлы конфигурации csf находятся в каталоге /etc/csf. Если вы измените любой из следующих файлов, вам нужно будет перезапустить демон csf, чтобы внести изменения:

  • csf.conf: основной файл конфигурации для управления CSF.
  • csf.allow: список разрешенных IP-адресов и CIDR-адресов на брандмауэре.
  • csf.deny: список запрещенных IP-адресов и CIDR-адресов на брандмауэре.
  • csf.ignore: список игнорируемых адресов IP и адресов CIDR на брандмауэре.
  • csf.*ignore: список различных игнорируемых файлов пользователей, список игнорируемых IP.

Удаление CSF-брандмауэра

Если вы хотите полностью удалить брандмауэр CSF, просто запустите следующий скрипт, расположенный в каталоге /etc/csf/uninstall.sh:

# /etc/csf/uninstall.sh

 

Вышеупомянутая команда полностью удалит брандмауэр CSF со всеми файлами и папками.

 

Итог

В этой статье мы объяснили, как устанавливать, настраивать и использовать CSF в качестве брандмауэра и системы обнаружения вторжений. Обратите внимание, что в csf.conf указано больше функций.

Например, если вы работаете в веб-хостинге, вы можете интегрировать CSF с решениями заточенными под панель управление (Cpanel, WHM или широко известный Webmin).

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Ciscoкурсы по кибербезопасности,  полный курс по кибербезопасности от Академии Ciscoкурсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Firewall

Больше похожих постов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Most Viewed Posts
Меню