Ricerca nel sito web

Come installare Config Server Firewall (CSF) su Debian/Ubuntu

ConfigServer e Security Firewall, abbreviato in CSF, è un firewall avanzato e open source progettato per i sistemi Linux. Non solo fornisce le funzionalità di base di un firewall, ma offre anche un'ampia gamma di funzionalità aggiuntive come rilevamento di accessi/intrusioni, controlli degli exploit, protezione dal ping di morte e molto altro ancora.

Inoltre, fornisce anche l'integrazione dell'interfaccia utente per i pannelli di controllo più utilizzati come cPanel, Webmin, Vesta CP, CyberPanel e DirectAdmin. Puoi trovare un elenco completo delle funzionalità e dei sistemi operativi supportati sul sito Web ufficiale di ConfigServer.

In questa guida ti guideremo attraverso l'installazione e la configurazione di ConfigServer Security & Firewall (CSF) su Debian e Ubuntu .

Passaggio 1: installa CSF Firewall su Debian e Ubuntu

Innanzitutto, devi installare alcune dipendenze prima di iniziare con l'installazione del firewall CSF. Sul tuo terminale, aggiorna l'indice del pacchetto:

sudo apt update

Successivamente, installa le dipendenze come mostrato:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Detto questo, ora puoi procedere al passaggio successivo.

Poiché CSF non è incluso nei repository Debian e Ubuntu predefiniti, è necessario installarlo manualmente. Per procedere, scarica il file tarball CSF che contiene tutti i file di installazione utilizzando il seguente comando wget.

wget http://download.configserver.com/csf.tgz

Viene scaricato un file compresso chiamato csf.tgz.

Successivamente, estrai il file compresso.

tar -xvzf csf.tgz

Questo crea una cartella chiamata csf.

ls -l

Successivamente, accedi alla cartella csf.

cd csf

Quindi installa CSF Firewall eseguendo lo script di installazione mostrato.

sudo bash install.sh

Se tutto è andato bene, dovresti ottenere l'output come mostrato.

A questo punto è installato CSF. Tuttavia, è necessario verificare che gli iptables richiesti siano caricati. Per ottenere ciò, esegui il comando:

sudo perl /usr/local/csf/bin/csftest.pl

Passaggio 2: configura CSF Firewall su Debian e Ubuntu

Sono necessarie alcune configurazioni aggiuntive Successivamente, dobbiamo modificare alcune impostazioni per abilitare CSF. Quindi, vai al file di configurazione csf.conf.

sudo nano /etc/csf/csf.conf

Modifica la direttiva TESTING da “1” a “0” come indicato di seguito.

TESTING = "0"

Successivamente, imposta la direttiva RESTRICT_SYSLOG su "3" per limitare l'accesso rsyslog/syslog solo ai membri del RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Successivamente, puoi aprire le porte TCP e UDP individuando TCP_IN, TCP_OUT, UDP_IN,< e UDP_OUT direttive.

Per impostazione predefinita, vengono aperte le seguenti porte.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

UDP_IN = "20,21,53,80,443"

UDP_OUT = "20,21,53,113,123"

È probabile che non sia necessario che tutte quelle porte siano aperte e le migliori pratiche del server richiedono che tu apra solo le porte che stai utilizzando. Ti consigliamo di rimuovere tutte le porte non necessarie e di lasciare quelle utilizzate dai servizi in esecuzione sul tuo sistema.

Una volta che hai finito di specificare le porte di cui hai bisogno, ricarica CSF come mostrato.

sudo csf -r

Per elencare tutte le regole della tabella IP definite sul server, eseguire il comando:

sudo csf -l

Puoi avviare e abilitare il firewall CSF all'avvio come segue:

sudo systemctl start csf
sudo systemctl enable csf

Quindi conferma che il firewall sia effettivamente in esecuzione:

sudo systemctl status csf

Passaggio 3: bloccare e consentire gli indirizzi IP nel firewall CSF

Una delle funzionalità chiave di un firewall è la capacità di consentire o bloccare l'accesso degli indirizzi IP al server. Con CSF, puoi inserire nella whitelist (allow), nella blacklist (deny) o ignorare gli indirizzi IP modificando i seguenti file di configurazione:

  • csf.allow
  • csf.deny
  • csf.ignore

Blocca un indirizzo IP in CSF

Per bloccare un indirizzo IP è sufficiente accedere al file di configurazione csf.deny.

sudo nano /etc/csf/csf.deny

Quindi specifica gli indirizzi IP che desideri bloccare. È possibile specificare gli indirizzi IP riga per riga come mostrato:

192.168.100.50
192.168.100.120

Oppure puoi utilizzare la notazione CIDR per bloccare un'intera sottorete.

192.168.100.0/24

Consenti un indirizzo IP in CSF

Per consentire un indirizzo IP tramite Iptables ed escluderlo da tutti i filtri o blocchi, modifica il file di configurazione csf.allow.

sudo nano /etc/csf/csf.allow

Puoi elencare un indirizzo IP per riga o utilizzare l'indirizzamento CIDR come dimostrato in precedenza quando si bloccano gli IP.

NOTA: un indirizzo IP sarà consentito anche quando è esplicitamente definito nel file di configurazione csf.deny. Per garantire che un indirizzo IP venga bloccato o inserito nella lista nera, assicurati che non sia elencato nel file csf.allow.

Escludere un indirizzo IP in CSF

Inoltre, CSF ti offre la possibilità di escludere un indirizzo IP da tabelle o filtri IP. Qualsiasi indirizzo IP nel file csf.ignore sarà esentato dai filtri iptables. Può essere bloccato solo se specificato nel file csf.deny.

Per esentare un indirizzo IP dai filtri, accedi al file csf.ignore.

sudo nano /etc/csf/csf.ignore

Ancora una volta, puoi elencare gli IP riga per riga o utilizzare la notazione CIDR.

Conclusione

E con questo si conclude la nostra guida di oggi. Ci auguriamo che ora tu possa installare e configurare il firewall CSF senza intoppi.