ຕິດຕັ້ງແລະ ກຳ ຫນົດຄ່າ ConfigServer Security & Firewall (CSF) ໃນ Linux

ຖ້າທ່ານເບິ່ງການປະກາດຮັບສະ ໝັກ ວຽກທີ່ກ່ຽວຂ້ອງກັບໄອທີຢູ່ທຸກບ່ອນ, ທ່ານຈະສັງເກດເຫັນຄວາມຕ້ອງການຄວາມປອດໄພຢ່າງຕໍ່ເນື່ອງ. ນີ້ບໍ່ພຽງແຕ່ ໝາຍ ຄວາມວ່າຄວາມປອດໄພທາງໄຊເບີແມ່ນພາກສະ ໜາມ ທີ່ ໜ້າ ສົນໃຈຂອງການສຶກສາ, ແຕ່ກໍ່ຍັງເປັນກິດຈະ ກຳ ທີ່ ໜ້າ ສົນໃຈຫຼາຍ.

ດ້ວຍຄວາມຄິດດັ່ງກ່າວ, ໃນບົດຄວາມນີ້ພວກເຮົາຈະອະທິບາຍວິທີການຕິດຕັ້ງແລະ ກຳ ຫນົດຄ່າ ConfigServer Security & Firewall (ເຊິ່ງເອີ້ນກັນວ່າ CSF ສຳ ລັບສັ້ນ), ຊຸດຄວາມປອດໄພຄົບຊຸດ ສຳ ລັບ Linux, ແລະແບ່ງປັນສອງສາມກໍລະນີການ ນຳ ໃຊ້ແບບປົກກະຕິ. ຈາກນັ້ນທ່ານຈະສາມາດໃຊ້ CSF ເປັນລະບົບໄຟວໍແລະລະບົບກວດສອບຄວາມລົ້ມເຫລວ/ການເຂົ້າສູ່ລະບົບເພື່ອເຂົ້າລະບົບເຊີບເວີທີ່ທ່ານຮັບຜິດຊອບ.

ຖ້າບໍ່ມີ ຄຳ ສັ່ງເພີ່ມເຕີມ, ໃຫ້ເລີ່ມຕົ້ນ.

ການຕິດຕັ້ງແລະ ກຳ ຫນົດຄ່າ CSF ໃນ Linux

ເພື່ອເລີ່ມຕົ້ນ, ກະລຸນາສັງເກດວ່າ Perl ແລະ libwww ແມ່ນຄວາມຕ້ອງການກ່ອນທີ່ຈະຕິດຕັ້ງ CSF ໃນການແຈກຢາຍທີ່ຮອງຮັບ (RHEL ແລະ CentOS, openSUSE, Debian, ແລະ Ubuntu). ເນື່ອງຈາກວ່າມັນສາມາດໃຊ້ໄດ້ໂດຍຄ່າເລີ່ມຕົ້ນ, ບໍ່ມີການກະ ທຳ ໃດໆທີ່ຕ້ອງການໃນສ່ວນຂອງທ່ານເວັ້ນເສຍແຕ່ວ່າ ໜຶ່ງ ໃນບາດກ້າວຕໍ່ໄປນີ້ຈະສົ່ງຄືນຂໍ້ຜິດພາດທີ່ເປັນອັນຕະລາຍ (ໃນກໍລະນີດັ່ງກ່າວ, ໃຊ້ລະບົບຄຸ້ມຄອງແພັກເກັດເພື່ອຕິດຕັ້ງເອື່ອຍອີງທີ່ຂາດໄປ).

# yum install perl-libwww-perl
# apt install libwww-perl

# cd /usr/src
# wget https://download.configserver.com/csf.tgz

# tar xzf csf.tgz
# cd csf

ສ່ວນ ໜຶ່ງ ຂອງຂະບວນການນີ້ຈະກວດສອບວ່າການເພິ່ງພາອາໃສທຸກຢ່າງຖືກຕິດຕັ້ງ, ສ້າງໂຄງສ້າງໄດເລກະທໍລີແລະແຟ້ມທີ່ ຈຳ ເປັນ ສຳ ລັບອິນເຕີເຟດ, ກວດພົບພອດທີ່ເປີດຢູ່ໃນປະຈຸບັນແລະເຕືອນໃຫ້ທ່ານເລີ່ມຕົ້ນ ໃໝ່ csf ແລະ lfd daemons ຫຼັງຈາກທີ່ທ່ານໄດ້ເຮັດກັບການຕັ້ງຄ່າເບື້ອງຕົ້ນ.

# sh install.sh
# perl /usr/local/csf/bin/csftest.pl

ຜົນຜະລິດທີ່ຄາດໄວ້ຂອງ ຄຳ ສັ່ງຂ້າງເທິງແມ່ນດັ່ງຕໍ່ໄປນີ້:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

ປິດໃຊ້ງານ firewalld ຖ້າແລ່ນແລະຕັ້ງຄ່າ CSF.

# systemctl stop firewalld
# systemctl disable firewalld

ປ່ຽນລະຫັດ <=> ທົດສອບ = "1" ເປັນ ການທົດສອບ = "0" (TCP_IN ແລະ TCP_OUT ຕາມ ລຳ ດັບ) ໃນ /etc/csf/csf.conf ດັ່ງທີ່ສະແດງຢູ່ໃນຜົນຜະລິດລຸ່ມນີ້:

# Testing flag - enables a CRON job that clears iptables incase of
# configuration problems when you start csf. This should be enabled until you
# are sure that the firewall works - i.e. incase you get locked out of your
# server! Then do remember to set it to 0 and restart csf when you're sure
# everything is OK. Stopping csf will remove the line from /etc/crontab
#
# lfd will not start while this is enabled
TESTING = "0"

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

ເມື່ອທ່ານພໍໃຈກັບການຕັ້ງຄ່າ, ບັນທຶກການປ່ຽນແປງແລະກັບໄປທີ່ເສັ້ນ ຄຳ ສັ່ງ.

# systemctl restart {csf,lfd}
# systemctl enable {csf,lfd}
# systemctl is-active {csf,lfd}
# csf -v

ໃນຈຸດນີ້ພວກເຮົາພ້ອມແລ້ວທີ່ຈະເລີ່ມຕົ້ນຕັ້ງກົດລະບຽບການຊອກຄົ້ນຫາໄຟວໍແລະການບຸກລຸກທີ່ໄດ້ສົນທະນາກັນໃນຄັ້ງຕໍ່ໄປ.

ການຕັ້ງກົດລະບຽບ CSF ແລະການກວດສອບການບຸກລຸກ

ກ່ອນອື່ນ ໝົດ, ທ່ານຕ້ອງການກວດສອບກົດລະບຽບຂອງໄຟວໍໃນປະຈຸບັນດັ່ງຕໍ່ໄປນີ້:

# csf -l

ທ່ານຍັງສາມາດຢຸດພວກມັນຫລືໂຫລດພວກມັນດ້ວຍ:

# csf -f
# csf -r

ຕາມ ລຳ ດັບ. ໃຫ້ແນ່ໃຈວ່າຈະຈື່ ຈຳ ຕົວເລືອກເຫຼົ່ານີ້ - ທ່ານຈະຕ້ອງການພວກມັນໃນຂະນະທີ່ທ່ານໄປພ້ອມກັນ, ໂດຍສະເພາະການກວດສອບຫຼັງຈາກເຮັດການປ່ຽນແປງແລະເລີ່ມຕົ້ນ ໃໝ່ csf ແລະ lfd.

ເພື່ອອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ຂາເຂົ້າຈາກ 192.168.0.10.

# csf -a 192.168.0.10

ເຊັ່ນດຽວກັນ, ທ່ານສາມາດປະຕິເສດການເຊື່ອມຕໍ່ທີ່ມາຈາກ 192.168.0.11.

# csf -d 192.168.0.11

ທ່ານສາມາດເອົາກົດລະບຽບຂ້າງເທິງນີ້ອອກໄປຖ້າທ່ານຕ້ອງການເຮັດ.

# csf -ar 192.168.0.10
# csf -dr 192.168.0.11

ໃຫ້ສັງເກດວິທີການ ນຳ ໃຊ້ລະຫັດທີ່ຢູ່ຂ້າງເທິງເອົາການອະນຸຍາດທີ່ມີຢູ່ແລະປະຕິເສດກົດລະບຽບທີ່ກ່ຽວຂ້ອງກັບທີ່ຢູ່ IP ໃຫ້.

ອີງຕາມການ ນຳ ໃຊ້ຂອງເຊີຟເວີຂອງທ່ານທີ່ຕ້ອງການ, ທ່ານອາດຈະຕ້ອງການ ຈຳ ກັດການເຊື່ອມຕໍ່ຂາເຂົ້າກັບ ຈຳ ນວນທີ່ປອດໄພໃນທ່າເຮືອ. ເພື່ອເຮັດສິ່ງນັ້ນ, ເປີດ /etc/csf/csf.conf ແລະຄົ້ນຫາ ສຳ ລັບ CONNLIMIT. ທ່ານສາມາດລະບຸຫລາຍພອດ; ຄູ່ເຊື່ອມຕໍ່ແຍກອອກດ້ວຍເຄື່ອງ ໝາຍ ຈຸດ. ຍົກຕົວຢ່າງ,

CONNLIMIT = "22;2,80;10"

ພຽງແຕ່ຈະອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ຂາເຂົ້າ 2 ແລະ 10 ຈາກແຫຼ່ງດຽວກັນກັບພອດ TCP 22 ແລະ 80 ຕາມ ລຳ ດັບ.

ມີຫລາຍປະເພດແຈ້ງເຕືອນທີ່ທ່ານສາມາດເລືອກໄດ້. ຊອກຫາການຕັ້ງຄ່າ EMAIL_ALERT ໃນ /etc/csf/csf.conf ແລະໃຫ້ແນ່ໃຈວ່າພວກເຂົາຖືກຕັ້ງຄ່າ "1" ເພື່ອຮັບການແຈ້ງເຕືອນທີ່ກ່ຽວຂ້ອງ. ຍົກຕົວຢ່າງ,

 
LF_SSH_EMAIL_ALERT = "1"
LF_SU_EMAIL_ALERT = "1"

ຈະເຮັດໃຫ້ການແຈ້ງເຕືອນຖືກສົ່ງໄປຫາທີ່ຢູ່ທີ່ລະບຸໄວ້ໃນ LF_ALERT_TO ໃນແຕ່ລະຄັ້ງທີ່ມີຄົນເຂົ້າສູ່ລະບົບຜ່ານ SSH ຫຼືປ່ຽນໄປບັນຊີອື່ນໂດຍປະສົບຜົນ ສຳ ເລັດໂດຍໃຊ້ su command.

ຕົວເລືອກການຕັ້ງຄ່າ CSF ແລະການ ນຳ ໃຊ້

ຕົວເລືອກຕໍ່ໄປນີ້ແມ່ນໃຊ້ເພື່ອປັບປຸງແລະຄວບຄຸມການຕັ້ງຄ່າ csf. ໄຟລ໌ການຕັ້ງຄ່າທັງ ໝົດ ຂອງ csf ແມ່ນຕັ້ງຢູ່ພາຍໃຕ້/etc/csf ໄດເລກະທໍລີ. ຖ້າທ່ານດັດແປງເອກະສານໃດ ໜຶ່ງ ຕໍ່ໄປນີ້ທ່ານຈະຕ້ອງເລີ່ມຕົ້ນ ໃໝ່ csf daemon ເພື່ອປ່ຽນແປງ.

  • csf.conf: ເອກະສານການຕັ້ງຄ່າຕົ້ນຕໍ ສຳ ລັບການຄວບຄຸມ CSF.
  • csf.allow: ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ແລະ CIDR ທີ່ຖືກອະນຸຍາດຢູ່ເທິງໄຟວໍ.
  • csf.deny: ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ແລະ CIDR ທີ່ຖືກປະຕິເສດຢູ່ເທິງໄຟວໍ.
  • csf.ignore: ບັນຊີລາຍຊື່ຂອງທີ່ຢູ່ IP ແລະ CIDR ທີ່ບໍ່ສົນໃຈໃນ firewall.
  • csf. * ບໍ່ສົນໃຈ: ບັນຊີລາຍຊື່ຂອງແຟ້ມຕ່າງໆຂອງຜູ້ໃຊ້, IP's.

ດຶງອອກຈາກ CSF Firewall

ຖ້າທ່ານຕ້ອງການລຶບ CSF Firewall ອອກ ໝົດ, ພຽງແຕ່ ດຳ ເນີນການສະຄິບຕໍ່ໄປນີ້ທີ່ຕັ້ງຢູ່ພາຍໃຕ້ໄດເລກະທໍລີ /etc/csf/uninstall.sh.

# /etc/csf/uninstall.sh

ຄຳ ສັ່ງຂ້າງເທິງນີ້ຈະ ກຳ ຈັດ CSF Firewall ຢ່າງສິ້ນເຊີງພ້ອມທັງແຟ້ມແລະແຟ້ມທັງ ໝົດ.

ໃນບົດຂຽນນີ້ພວກເຮົາໄດ້ອະທິບາຍກ່ຽວກັບວິທີການຕິດຕັ້ງ, ການ ກຳ ນົດແລະການ ນຳ ໃຊ້ CSF ເປັນລະບົບໄຟແລະການຊອກຄົ້ນຫາການບຸກລຸກ. ກະລຸນາສັງເກດວ່າຄຸນລັກສະນະເພີ່ມເຕີມແມ່ນຖືກລະບຸໄວ້ໃນ csf.conf.

ຕົວຢ່າງ: ຖ້າທ່ານຢູ່ໃນທຸລະກິດໂຮດຕິ້ງ, ທ່ານສາມາດລວມ CSF ກັບວິທີແກ້ໄຂການຄຸ້ມຄອງເຊັ່ນ Webmin.

ທ່ານມີ ຄຳ ຖາມຫຼື ຄຳ ເຫັນຫຍັງກ່ຽວກັບບົດຂຽນນີ້? ຮູ້ສຶກບໍ່ເສຍຄ່າທີ່ຈະສົ່ງຂໍ້ຄວາມຫາພວກເຮົາໂດຍໃຊ້ແບບຟອມລຸ່ມນີ້. ພວກເຮົາຫວັງວ່າຈະໄດ້ຍິນຂ່າວຈາກທ່ານ!