GNU/Linux >> Linux の 問題 >  >> Debian

Debian11にConfigServerFirewall(CSF)をインストールする方法

CSFは「ConfigServerFirewall」とも呼ばれ、Linuxシステム用の無料の高度なファイアウォールです。侵入、フラッド、ログイン検出などの高度なセキュリティ機能が付属しています。これは、ポートスキャン、SYNフラッド、ログインブルートフォース攻撃などの多くの攻撃から防御するように設計されています。また、cPanel、DirectAdmin、およびWebminの統合も提供します。

このチュートリアルでは、Debian 11でのCSFのインストール、基本構成、およびCSFの基本的なコマンドについて説明します。

前提条件
  • Debian11を実行しているサーバー。
  • ルートパスワードはサーバーで構成されています。
はじめに

開始する前に、システムパッケージを更新されたバージョンに更新することをお勧めします。次のコマンドを使用して実行できます:

 apt-get update -y

すべてのパッケージが更新されたら、次のコマンドを使用して他の必要な依存関係をインストールします。

 apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y

Debian11にCSFをインストールする

デフォルトでは、CSFパッケージはDebian11デフォルトリポジトリに含まれていません。公式ウェブサイトからダウンロードする必要があります。

次のコマンドを使用して、CSFの最新バージョンをダウンロードできます。

 wget http://download.configserver.com/csf.tgz

ダウンロードが完了したら、次のコマンドを使用してダウンロードしたファイルを抽出します。

 tar -xvzf csf.tgz

次に、ディレクトリをCSFに変更し、 install.shを実行します。 サーバーにCSFをインストールするためのスクリプト。

 cd csf 
 bash install.sh

CSFをインストールすると、次の出力が得られます。

忘れないでください:1。サーバーに合わせて、csf構成で次のオプションを構成します:TCP _ *、UDP_*2。 csfとlfd3を再起動します。ファイアウォールに満足したら、TESTINGを0に設定します。そうするまで、lfdは実行されません。現在のSSHセッションIPアドレスをcsf.allowのcsfホワイトリストに追加します。*警告* URLGETはLWPを使用するように設定されていますが、perlモジュールはインストールされていません。 CURL / WGETの使用へのフォールバックテストモード(iptables ACCEPTではない)でのみcsf.allowに106.222.22.32を追加*警告*テストモードが有効になっている-構成'lfd.service'->'/usrで無効にすることを忘れないでください/lib/systemd/system/lfd.service''csf.service'->'/usr/lib/systemd/system/csf.service'作成されたsymlink/etc/systemd/system/multi-user.target.wants/csf .service→/lib/ systemd / system / csf.service.Createdsymlink/etc/systemd/system/multi-user.target.wants/lfd.service→/lib/systemd/system/lfd.service。ユニットの無効化に失敗しました:ユニットファイルfirewalld.serviceが存在しません。firewalld.serviceの停止に失敗しました:ユニットfirewalld.serviceがロードされていません。ユニットfirewalld.serviceが存在せず、とにかく続行します。symlink/etc/systemd/system/firewalld.service→/devを作成しました。 /null.'/etc /csf/csfwebmin.tgz'->'/usr/local/csf/csfwebmin.tgz'インストールが完了しました

インストール後、次のコマンドを使用して、CSFに必要なiptablesモジュールを確認します。

 perl /usr/local/csf/bin/csftest.pl

すべてが正常であれば、次の出力が得られるはずです:

 Testing ip_tables / iptable_filter ... OKTesting ipt_LOG ... OKTesting ipt_multiport / xt_multiport ... OKTesting ipt_REJECT ... OKTesting ipt_state / xt_state ... OKTesting ipt_limit / xt_limit ... OKTesting ipt_recent ... OKTesting xt_connlimit .. .OKTesting ipt_owner / xt_owner ... OKTesting iptable_nat / ipt_REDIRECT ... OKTesting iptable_nat / ipt_DNAT ... OKRESULT:csfはこのサーバーで機能する必要があります

CSFの構成

次に、要件に基づいてCSFを構成する必要があります。 /etc/csf/csf.confを編集して構成できます ファイル。

 nano /etc/csf/csf.conf

まず、TESTING ="1"という行を見つけ、値を "0"に変更して、CSFを有効にします。

 TESTING ="0"

次に、 RESTRICT_SYSLOG ="0"の行を見つけます 、値を 3に変更します RESTRICT_SYSLOG_GROUPのメンバーのみにsyslog/rsyslogファイルのアクセスを設定します :

 RESTRICT_SYSLOG ="3"

次の行に、必要な着信TCPオープンポートを追加します。

 TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"

次の行に必要な送信TCPポートを追加します。

#送信TCPポートを許可TCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"

次の行に、必要な着信UDPオープンポートを追加します。

#着信UDPポートを許可UDP_IN ="20,21,53,80,443"

次の行に必要な発信UDPポートを追加します。

#発信UDPポートを許可UDP_OUT ="20,21,53,113,123"

ファイルを保存して閉じてから、CSFファイアウォールをリロードして変更を適用します。

 csf -r
基本的なCSFコマンド

CSFファイアウォールを停止するには、次のコマンドを実行します。

 csf -s

CSFファイアウォールをフラッシュするには、次のコマンドを実行します。

 csf -f

CSFによって追加されたすべてのIPTABLESルールを一覧表示するには、次のコマンドを実行します。

 csf -l <​​/ pre> 

 CSFを起動し、システムの再起動時に起動できるようにするには、次のコマンドを実行します。
 
 systemctl start csf 
 systemctl enable csf 
 

 CSFファイアウォールのステータスを確認するには、次のコマンドを実行します。
 
 systemctl status csf 
 

 次の出力が得られるはずです:
 
? csf.service-ConfigServerファイアウォールとセキュリティ-csfロード済み:ロード済み(/lib/systemd/system/csf.service;有効;ベンダープリセット:有効)アクティブ:アクティブ(終了)2021-09-18土曜日15:42:04以降UTC; 11秒前プロセス:8022 ExecStart =/ usr / sbin / csf --initup(code =exited、status =0 / SUCCESS)メインPID:8022(code =exited、status =0 / SUCCESS)CPU:705msSep 18 15:42: 04 debian11 csf [8022]:ACCEPT all opt in * out lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOGDROPOUT all opt in * out!lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOGDROPIN all opt in!lo out * ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:csf:FASTSTARTロードDNS(IPv4)Sep 18 15:42:04 debian11 csf [8022]:csf:FASTSTARTローディングDNS(IPv6)Sep 18 15:42:04 debian11 csf [8022]:LOCALOUTPUT all opt --in * out!lo0.0。 0.0 / 0-> 0.0.0.0/0Sep 18 15:42:04 debian11 csf [8022]:LOCALINPUT all opt --in!lo out * 0.0.0.0/0-> 0.0.0.0/0Sep 18 15:42:04 debian11 csf [8022]:LOCALOUTPUT all opt in * out!lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOCALINPUT all opt in!lo out * ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 systemd [1]:ConfigServerファイアウォールとセキュリティを終了-csf。 

 IPアドレスで特定のホストを許可するには、次のコマンドを実行します。
 
 csf -a 192.168.100.10 
 

 IPアドレスで特定のホストを拒否するには、次のコマンドを実行します。
 
 csf -d 192.168.100.11 
 

 許可リストからIPを削除するには、次のコマンドを実行します。
 
 csf -ar 192.168.100.10 
 

 拒否リストからIPを削除するには、次のコマンドを実行します。
 
 csf -dr 192.168.100.11 
 

  /etc/csf/csf.allow を編集して、信頼できるIPを追加できます。 ファイル:
 
 nano /etc/csf/csf.allow 
 

 信頼できるIPを追加します:
 
 192.168.100.10 
 

  /etc/csf/csf.deny を編集して、信頼できないIPを追加できます。 ファイル:
 
 nano /etc/csf/csf.deny 
 

 信頼できないIPを追加します:
 
 192.168.100.11 
 結論 

 上記のガイドでは、Debian 11にCSFファイアウォールをインストールする方法を説明しました。また、トラフィックを管理するためのいくつかの基本的なCSFコマンドも示します。詳細については、CSFのドキュメントをご覧ください。
Debian

  1. Debian11にRedisサーバーをインストールする方法

  2. Debian8にProFTPDをインストールする方法

  3. Debian9でCSFを使用してファイアウォールを構成する方法

  1. MySQL 8.0/5.7をDebian11/Debian10にインストールする方法

  2. MySQLサーバーをDebian9にインストールする方法

  3. Debian9にOdoo12をインストールする方法

  1. Debian9にMinecraftサーバーをインストールする方法

  2. SuiteCRMをDebian9にインストールする方法

  3. MySQL8をDebian10にインストールする方法