このガイドでは、Configserver Security&Firewall A Stateful Packet Inspection(SPI)ファイアウォール、ログイン/侵入検知、およびLinuxサーバー用のセキュリティアプリケーションをインストールする必要があることを示します。
この一連のスクリプトは以下を提供します:
- ストレートフォワードSPIiptablesファイアウォールスクリプト
- 次のログイン認証の失敗をチェックするデーモンプロセス:
- Courier imap、Dovecot、uw-imap、Kerio
- openSSH
- cPanel、WHM、Webメール(cPanelサーバーのみ)
- Pure-ftpd、vsftpd、Proftpd
- パスワードで保護されたWebページ(htpasswd)
- Mod_securityの失敗(v1およびv2)
- Suhosinの失敗
- Exim SMTP AUTH
- 個別のログファイルと正規表現の一致によるカスタムログインの失敗
- 1時間あたりのログインを強制するPOP3/IMAPログイン追跡
- SSHログイン通知
- SUログイン通知
- 過度の接続ブロッキング cPanelのUI統合 、 DirectAdmin およびWebmin
- cPanel / WHM、DirectAdmin、またはWebmin内からのバージョン間の簡単なアップグレード
- シェルからのバージョン間の簡単なアップグレード
- すべての標準cPanelポートが開いているcPanelサーバーで動作するように事前構成されています
- すべての標準DirectAdminポートが開いているDirectAdminサーバーで動作するように事前構成されています
- インストール時にSSHポートが標準でない場合は、SSHポートを自動構成します
- 未使用のサーバーIPアドレスのトラフィックをブロックする–サーバーへのリスクを軽減するのに役立ちます
- エンドユーザースクリプトが1時間に過剰な電子メールを送信する場合にアラート–スパムスクリプトを識別するために
- 疑わしいプロセスの報告–サーバーで実行されている潜在的なエクスプロイトを報告します
- 過剰なユーザープロセスのレポート
- 過剰なユーザープロセスの使用状況の報告とオプションの終了
- 疑わしいファイルの報告–/tmpおよび同様のディレクトリにある潜在的なエクスプロイトファイルを報告します
- ディレクトリとファイルの監視–監視対象のディレクトリまたはファイルが変更されたかどうかを報告します
- DShieldブロックリストとSpamhausDROPリストでトラフィックをブロックする
- BOGONパケット保護
- 低、中、高のファイアウォールセキュリティ用に事前構成された設定(cPanelサーバーのみ)
- 複数のイーサネットデバイスで動作します
- サーバーセキュリティチェック–サーバーの基本的なセキュリティと設定のチェックを実行します(cPanel / DirectAdmin / Webmin UIを介して)
- ダイナミックDNSIPアドレスを許可する–インターネットに接続するたびにIPアドレスが変更された場合でも、常に許可します
- サーバーの平均負荷が指定された期間高いままである場合に送信されるアラート
- mod_securityログレポート(インストールされている場合)
- メールリレー追跡–サーバーを介して送信されたすべてのメールを追跡し、過度の使用に対してアラートを発行します(cPanelサーバーのみ)
- IDS(侵入検知システム)–検出の最後の行は、システムとアプリケーションのバイナリへの変更を警告します
- SYNフラッドプロテクション
- 死の保護のping
- ポートスキャンの追跡とブロック
- 永続的なおよび 一時的な(TTLを使用した)IPブロッキング
- エクスプロイトチェック
- アカウント変更の追跡–アカウントエントリが変更された場合にアラートを送信します。パスワードが変更された場合、またはログインシェル
- 共有syslog対応
- メッセンジャーサービス–ブロックされたIPアドレスから事前設定されたテキストおよびHTMLページに接続要求をリダイレクトして、ファイアウォールでブロックされたことを訪問者に通知できます。これは、ユーザーベースが大きい場合に特に役立ち、サポートリクエストをより効率的に処理するのに役立ちます。
- 国コードのブロック–ISO国コードによるアクセスを拒否または許可できます
- ポートフラッディング検出– IPごと、ポート接続ごとのフラッディング検出と軽減により、DOS攻撃をブロックできます
- DirectAdminUIの統合
- 更新されたWebminUI統合
- WHMルートアクセス通知(cPanelサーバーのみ)
- lfdクラスタリング–IPアドレスブロックをlfdを実行しているサーバーのグループ全体に自動的に伝播できるようにします。これにより、クラスター全体の許可、削除、および構成の変更が可能になります
- クイックスタートcsf–大きなブロックや許可リストを持つサーバーのlfdによる遅延起動
- 分散ログイン失敗攻撃の検出
- 一時IPは(TTLを使用して)許可します
- IPv6 ip6tablesによるサポート
- 統合UI–csf構成を使用するために個別のコントロールパネルやApacheは必要ありません
- 統合UI内でのcseの統合サポート
- cPanelリセラーによるリセラーごとの構成可能なオプションへのアクセスIPアドレスブロックのブロック解除、拒否、許可、検索
- システム統計–サーバーのパフォーマンスを示す基本的なグラフ。負荷平均、CPU使用率、メモリ使用率など
- 大規模なIPリストのipsetサポート
- …もっとたくさん!
Installation ============ Installation is quite straightforward: cd /usr/src rm -fv csf.tgz wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh
GD::Graphs ========= This perl module is required for Statistical Graphs available from the csf UI. It is dependent on graphical libraries being installed for your OS (e.g. libgd, libpng, etc. which is beyond the scope of this document) The perl module itself can be installed in a variety of ways, e.g.: RedHat/CentOS/CloudLinux: # yum install perl-GDGraph Debian v6: # apt-get install libgd-graph-perl Direct from cpan.org: # perl -MCPAN -e shell cpan> install GD::Graph
Webmin Module Installation/Upgrade ================================== To install or upgrade the csf webmin module: Install csf as above Install the csf webmin module in: Webmin > Webmin Configuration > Webmin Modules > From local file > /usr/local/csf/csfwebmin.tgz > Install Module
Uninstallation ============== Removing csf and lfd is even more simple: cd /etc/csf sh uninstall.sh
(*一部の関数にはカスタム正規表現パターンが必要な場合があります) |
(**ホストサーバーで正しいiptables構成が必要です) 注:EOLであるOSはサポートされなくなり、新しい機能が追加されると、新しいバージョンのcsfが機能しなくなる可能性があります | ||||||||||||||||||||||||||||||