BLOG BKHOST / Chưa được phân loại / Hướng dẫn cài đặt CSF – ConfigServer Security & Firewall trên CentOS

Hướng dẫn cài đặt CSF – ConfigServer Security & Firewall trên CentOS

1. Giới thiệu về ConfigServer Security & Firewall (CSF)
ConfigServer Security & Firewall (CSF) là một phần mềm mã nguồn mở của Way to the Web Limited, trụ sở tại UK. CSF được xây dựng để làm firewall, bảo vệ cho hệ thống trên hệ điều hành linux.

Installing-CSF-Firewall-300x132

 

Bên cạnh những tính năng cơ bản như một firewall, CSF còn có những chức năng bảo mật nâng cao khác như ngăn chặn flood login, port scans, SYN floods… Các bạn có thể xem chi tiết các tính năng của CSF tại đây

Các hệ điều hành Linux mà CSF đã được thử nghiệm và hỗ trợ
– RedHat Enterprise từ v3 đến v7
– openSUSE v10, v11, v12*
– CentOS từ v3 đến v7
– Debian từ v3.1 đến v7*
– CloudLinux từ v5 đến v7
– Ubuntu từ v6 đến v14*
– Fedora từ v1 đến v21
– Slackware v12*
* Một số hệ điều hành cần chỉnh sửa cấu hình để có thể hoạt động với đầy đủ chức năng.

Các công nghệ ảo hóa được CSF hỗ trợ
Xen, KVM, VMWare, VirtualBox, MS Virtual Server. Riêng với Virtuozzo và OpenVZ cần thêm yêu cầu cấu hình iptables chuẩn từ hệ điều hành cài trên máy chủ vật lý.

2. Hướng dẫn cài đặt CSF
Bước 1: Cài đặt module perl cho CSF script

yum install perl-libwww-perl

Bước 2: Tài và cài đặt CSF
Dựa theo hướng dẫn cài đặt CSF tại trang chủ ConfigServer, ta thực hiện các câu lệnh sau

cd /usr/src
rm -fv csf.tgz
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Bước 3: Kiểm tra itables
Sau khi cài đặt, chúng ta kiểm tra xem liệu các iptable modules đã được cài đặt theo yêu cầu của CSF hay chưa.

/etc/csf/csftest.pl

Trong quá trình kiểm tra, có thể có 1 số modules chưa được cài đặt, bạn không cần lo lắng nếu không xuất hiện lỗi “Fatal Error”

Ngoài ra, nếu trước đó bạn đã từng sử dụng APF+BFD thì bạn nên chạy script xóa các thiết lập iptables xung đột với CSF

cd /etc/csf
chmod +x remove_apf_bfd.sh
./remove_apf_bfd.sh

Bước 4: Cấu hình cơ bản CSF
Danh sách các file cấu hình CSF đều nằm trong thư mục /etc/csf/

csf.conf : File cấu hình chính để quản lý CSF.
csf.allow : Danh sách địa chỉ IP cho phép qua firewall.
csf.deny : Danh sách địa chỉ IP từ chối qua firewall.
csf.ignore : Danh sách địa chỉ IP cho phép qua firewall và không bị block nếu có vấn đề.
csf.*ignore : Danh sách user, IP được ignore.

Để tiến hành cấu hình CSF, mở file csf.conf bằng các lệnh editor, ở đây tôi sử dụng lệnh thông dụng nano để mở và chỉnh sửa file csf.conf

nano /etc/csf/csf.conf

Trong file csf.conf có rất nhiều cấu hình liên quan đến CSF cũng như LFD, các bạn có thể xem chi tiết hướng dẫn ngay tại csf.conf hoặc /etc/csf/readme.txt. Ở đây tôi chỉ hướng dẫn 1 số cấu hình liên quan đến bật/tắt chức năng testing mode hay các port thông dụng.

Bật/tắt Testing Mode
Tìm “TESTING” và chuyển giá trị về 0 để bật CSF, 1 để tắt CSF và chuyển về testing mode, testing mode tự động tắt CSF 5 phút sau khi bật để bạn có thể thử nghiệm cấu hình.

TESTING="0"

Các port thông dụng cần lưu ý
Khi cài đặt, CSF mặc định sẽ thêm các port thông dụng vào cấu hình để máy chủ có thể hoạt động bình thường.

# Allow incoming TCP ports
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2222,35000:35999"
# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443"
# Allow incoming UDP ports
UDP_IN = "20,21,53"
# Allow outgoing UDP ports
UDP_OUT = "20,21,53,113,123"

Lưu ý rằng khi bạn thay đổi port mặc định 22 của SSH thì bạn PHẢI thêm port mới vào phần TCP_IN và TCP_OUT để tránh bị khóa khi cố đăng nhập.

3. Một số lệnh thông dụng của CSF
Trong CSF có một số lệnh thông dụng để các bạn có thể điều khiển hoạt động của CSF tốt hơn.

Lệnh deny (cấm) 1 địa chỉ IP truy cập vào máy chủ

csf -d IPADDRESS

Lệnh allow (cho phép) 1 địa chỉ IP truy cập vào máy chủ

csf -a IPADDRESS

Các restart (khởi động lại), disable (tắt), enable (bật) CSF tương ứng các lệnh dưới đây

csf -r
csf -x
csf -e

4. Tự động bật CSF kèm hệ điều hành
Thông thường, không phải tất cả các phần mềm đều được tự động bật sau khi khởi động máy chủ, máy chủ ảo VPS, chúng ta cấu hình như sau để khắc phục vấn đề này

chkconfig --level 235 csf on
service csf restart

5. Xóa CSF
Trong quá trình sử dụng CSF, nếu cảm thấy không phù hợp bạn có thể xóa CSF bằng câu lệnh đơn giản

/etc/csf/uninstall.sh

Tổng kết: ConfigServer Security & Firewall (CSF) thực sự là một phần mềm miễn phí đáng để sử dụng trong việc thiết lập cấu hình bảo mật cho máy chủ server, máy chủ ảo VPS, Cloud Server.

About admin

XEM THÊM

Client Server là gì ? Tìm hiểu mô hình Client Server

Client Server là gì ? Lý do tại sao lại dùng mô hình Client Server? …

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *