CSFは「ConfigServerFirewall」とも呼ばれ、Linuxシステム用の無料の高度なファイアウォールです。侵入、フラッド、ログイン検出などの高度なセキュリティ機能が付属しています。これは、ポートスキャン、SYNフラッド、ログインブルートフォース攻撃などの多くの攻撃から防御するように設計されています。また、cPanel、DirectAdmin、およびWebminの統合も提供します。
このチュートリアルでは、Debian 11でのCSFのインストール、基本構成、およびCSFの基本的なコマンドについて説明します。
- Debian11を実行しているサーバー。
- ルートパスワードはサーバーで構成されています。
開始する前に、システムパッケージを更新されたバージョンに更新することをお勧めします。次のコマンドを使用して実行できます:
apt-get update -y
すべてのパッケージが更新されたら、次のコマンドを使用して他の必要な依存関係をインストールします。
apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y
Debian11にCSFをインストールする
デフォルトでは、CSFパッケージはDebian11デフォルトリポジトリに含まれていません。公式ウェブサイトからダウンロードする必要があります。
次のコマンドを使用して、CSFの最新バージョンをダウンロードできます。
wget http://download.configserver.com/csf.tgz
ダウンロードが完了したら、次のコマンドを使用してダウンロードしたファイルを抽出します。
tar -xvzf csf.tgz
次に、ディレクトリをCSFに変更し、 install.shを実行します。 サーバーにCSFをインストールするためのスクリプト。
cd csf
bash install.sh
CSFをインストールすると、次の出力が得られます。
忘れないでください:1。サーバーに合わせて、csf構成で次のオプションを構成します:TCP _ *、UDP_*2。 csfとlfd3を再起動します。ファイアウォールに満足したら、TESTINGを0に設定します。そうするまで、lfdは実行されません。現在のSSHセッションIPアドレスをcsf.allowのcsfホワイトリストに追加します。*警告* URLGETはLWPを使用するように設定されていますが、perlモジュールはインストールされていません。 CURL / WGETの使用へのフォールバックテストモード(iptables ACCEPTではない)でのみcsf.allowに106.222.22.32を追加*警告*テストモードが有効になっている-構成'lfd.service'->'/usrで無効にすることを忘れないでください/lib/systemd/system/lfd.service''csf.service'->'/usr/lib/systemd/system/csf.service'作成されたsymlink/etc/systemd/system/multi-user.target.wants/csf .service→/lib/ systemd / system / csf.service.Createdsymlink/etc/systemd/system/multi-user.target.wants/lfd.service→/lib/systemd/system/lfd.service。ユニットの無効化に失敗しました:ユニットファイルfirewalld.serviceが存在しません。firewalld.serviceの停止に失敗しました:ユニットfirewalld.serviceがロードされていません。ユニットfirewalld.serviceが存在せず、とにかく続行します。symlink/etc/systemd/system/firewalld.service→/devを作成しました。 /null.'/etc /csf/csfwebmin.tgz'->'/usr/local/csf/csfwebmin.tgz'インストールが完了しました
インストール後、次のコマンドを使用して、CSFに必要なiptablesモジュールを確認します。
perl /usr/local/csf/bin/csftest.pl
すべてが正常であれば、次の出力が得られるはずです:
Testing ip_tables / iptable_filter ... OKTesting ipt_LOG ... OKTesting ipt_multiport / xt_multiport ... OKTesting ipt_REJECT ... OKTesting ipt_state / xt_state ... OKTesting ipt_limit / xt_limit ... OKTesting ipt_recent ... OKTesting xt_connlimit .. .OKTesting ipt_owner / xt_owner ... OKTesting iptable_nat / ipt_REDIRECT ... OKTesting iptable_nat / ipt_DNAT ... OKRESULT:csfはこのサーバーで機能する必要があります
CSFの構成
次に、要件に基づいてCSFを構成する必要があります。 /etc/csf/csf.confを編集して構成できます ファイル。
nano /etc/csf/csf.conf
まず、TESTING ="1"という行を見つけ、値を "0"に変更して、CSFを有効にします。
TESTING ="0"
次に、 RESTRICT_SYSLOG ="0"の行を見つけます 、値を 3に変更します RESTRICT_SYSLOG_GROUPのメンバーのみにsyslog/rsyslogファイルのアクセスを設定します :
RESTRICT_SYSLOG ="3"
次の行に、必要な着信TCPオープンポートを追加します。
TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"
次の行に必要な送信TCPポートを追加します。
#送信TCPポートを許可TCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"
次の行に、必要な着信UDPオープンポートを追加します。
#着信UDPポートを許可UDP_IN ="20,21,53,80,443"
次の行に必要な発信UDPポートを追加します。
#発信UDPポートを許可UDP_OUT ="20,21,53,113,123"
ファイルを保存して閉じてから、CSFファイアウォールをリロードして変更を適用します。
csf -r
CSFファイアウォールを停止するには、次のコマンドを実行します。
csf -s
CSFファイアウォールをフラッシュするには、次のコマンドを実行します。
csf -f
CSFによって追加されたすべてのIPTABLESルールを一覧表示するには、次のコマンドを実行します。
csf -l </ pre>CSFを起動し、システムの再起動時に起動できるようにするには、次のコマンドを実行します。
systemctl start csf
systemctl enable csfCSFファイアウォールのステータスを確認するには、次のコマンドを実行します。
systemctl status csf次の出力が得られるはずです:
? csf.service-ConfigServerファイアウォールとセキュリティ-csfロード済み:ロード済み(/lib/systemd/system/csf.service;有効;ベンダープリセット:有効)アクティブ:アクティブ(終了)2021-09-18土曜日15:42:04以降UTC; 11秒前プロセス:8022 ExecStart =/ usr / sbin / csf --initup(code =exited、status =0 / SUCCESS)メインPID:8022(code =exited、status =0 / SUCCESS)CPU:705msSep 18 15:42: 04 debian11 csf [8022]:ACCEPT all opt in * out lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOGDROPOUT all opt in * out!lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOGDROPIN all opt in!lo out * ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:csf:FASTSTARTロードDNS(IPv4)Sep 18 15:42:04 debian11 csf [8022]:csf:FASTSTARTローディングDNS(IPv6)Sep 18 15:42:04 debian11 csf [8022]:LOCALOUTPUT all opt --in * out!lo0.0。 0.0 / 0-> 0.0.0.0/0Sep 18 15:42:04 debian11 csf [8022]:LOCALINPUT all opt --in!lo out * 0.0.0.0/0-> 0.0.0.0/0Sep 18 15:42:04 debian11 csf [8022]:LOCALOUTPUT all opt in * out!lo ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 csf [8022]:LOCALINPUT all opt in!lo out * ::/ 0-> ::/ 0Sep 18 15:42:04 debian11 systemd [1]:ConfigServerファイアウォールとセキュリティを終了-csf。IPアドレスで特定のホストを許可するには、次のコマンドを実行します。
csf -a 192.168.100.10IPアドレスで特定のホストを拒否するには、次のコマンドを実行します。
csf -d 192.168.100.11許可リストからIPを削除するには、次のコマンドを実行します。
csf -ar 192.168.100.10拒否リストからIPを削除するには、次のコマンドを実行します。
csf -dr 192.168.100.11/etc/csf/csf.allow を編集して、信頼できるIPを追加できます。 ファイル:
nano /etc/csf/csf.allow信頼できるIPを追加します:
192.168.100.10/etc/csf/csf.deny を編集して、信頼できないIPを追加できます。 ファイル:
nano /etc/csf/csf.deny信頼できないIPを追加します:
192.168.100.11結論 上記のガイドでは、Debian 11にCSFファイアウォールをインストールする方法を説明しました。また、トラフィックを管理するためのいくつかの基本的なCSFコマンドも示します。詳細については、CSFのドキュメントをご覧ください。
Debian