Как установить CSF Firewall в Ubuntu 20.04 LTS.

Linux, Ubuntu

Как установить CSF Firewall в Ubuntu 20.04 LTS.

 

В этом руководстве мы покажем вам, как установить CSF Firewall в Ubuntu 20.04 LTS. Для тех из вас, кто не знал, ConfigServer Security & Firewall (CSF) — это популярный инструмент безопасности с открытым исходным кодом Stateful Packet Inspection (SPI) для Linux. Кроме того, он предоставляет простой интерфейс для iptables для защиты серверов Linux. CSF имеет несколько функций, таких как межсетевой экран с отслеживанием состояния пакетов, обнаружение вторжений, демон сбоя входа в систему, защита от DDOS и интеграция с панелью управления.

В этой статье предполагается, что у вас есть хотя бы базовые знания Linux, вы знаете, как использовать оболочку, и, что наиболее важно, вы размещаете свой сайт на собственном VPS. Установка довольно проста и предполагает, что вы работаете с учетной записью root, в противном случае вам может потребоваться добавить ‘ sudo‘ к командам для получения привилегий root. Я покажу вам пошаговую установку ConfigServer Security & Firewall (CSF) на Ubuntu 20.04 (Focal Fossa). Вы можете следовать тем же инструкциям для Ubuntu 18.04, 16.04 и любого другого дистрибутива на основе Debian, например Linux Mint.

Установите CSF Firewall на Ubuntu 20.04 LTS Focal Fossa

Шаг 1. Во-первых, убедитесь, что все ваши системные пакеты обновлены, выполнив следующие aptкоманды в терминале.

sudo apt update
sudo apt upgrade

Шаг 2. Установка CSF Firewall в Ubuntu 20.04.

Теперь мы загружаем последний исходный код архива CSF с официального сайта:

wget http://download.configserver.com/csf.tgz

Затем извлеките загруженный файл и запустите его установочный скрипт:

tar -xvzf csf.tgz
cd csf
sudo bash install.sh

После этого запустите сценарий Perl, чтобы проверить, все ли необходимые модули iptables установлены в вашей системе, чтобы она работала должным образом:csftest.pl

sudo perl /usr/local/csf/bin/csftest.pl

Выход:

Testing ip_tables/iptable_filter...OK
Testing ipt_LOG...OK
Testing ipt_multiport/xt_multiport...OK
Testing ipt_REJECT...OK
Testing ipt_state/xt_state...OK
Testing ipt_limit/xt_limit...OK
Testing ipt_recent...OK
Testing xt_connlimit...OK
Testing ipt_owner/xt_owner...OK
Testing iptable_nat/ipt_REDIRECT...OK
Testing iptable_nat/ipt_DNAT...OK

RESULT: csf should function on this server

Шаг 3. Настройте CSF.

Теперь настройте CSF в соответствии с вашим стандартом безопасности. Вы можете настроить его, отредактировав файл :/etc/csf/csf.conf

nano /etc/csf/csf.conf

Измените следующую строку в соответствии с вашими требованиями:

TESTING = "0"
RESTRICT_SYSLOG = "3"
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"

# Allow outgoing TCP ports
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"

# Allow incoming UDP ports
UDP_IN = "20,21,53,80,443"

# Allow outgoing UDP ports
# To allow outgoing traceroute add 33434:33523 to this list
UDP_OUT = "20,21,53,113,123"

# Allow incoming PING. Disabling PING will likely break external uptime
# monitoring
ICMP_IN = "1"

Сохраните и закройте файл, затем перезапустите CSF с помощью следующей команды:

csf -r
csf -l

Выход:

iptables mangle table
=====================
Chain PREROUTING (policy ACCEPT 55 packets, 3332 bytes)
num pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 48 packets, 3054 bytes)
num pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 24 packets, 15822 bytes)
num pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 24 packets, 15822 bytes)
num pkts bytes target prot opt in out source destination

iptables raw table
==================
Chain PREROUTING (policy ACCEPT 51 packets, 3321 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 24 packets, 15966 bytes)
num pkts bytes target prot opt in out source destination

iptables nat table
==================
Chain PREROUTING (policy ACCEPT 12 packets, 1410 bytes)
num pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 1 packets, 69 bytes)
num pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 1 packets, 23 bytes)
num pkts bytes target prot opt in out source destination

Шаг 4. Доступ к веб-интерфейсу CSF.

CSF предоставляет веб-интерфейс для управления брандмауэром из веб-браузера. Сначала отредактируйте основной файл конфигурации CSF с помощью следующей команды:

nano /etc/csf/csf.conf

Добавьте следующие строки:

#Enable Web UI
UI = "1"

#Listening Port
UI_PORT = "8080"

#Admin username
UI_USER = "admin"

#Admin user password

UI_PASS = "your-password"

#Listening Interface
UI_IP = ""

Сохраните и закройте файл, когда закончите. Затем вам нужно будет отредактировать файл и добавить IP-адрес вашего сервера и IP-адрес удаленного компьютера, с которого вы хотите получить доступ к веб-интерфейсу CSF./etc/csf/ui/ui.allow

nano /etc/csf/ui/ui.allow

Добавьте IP-адрес вашего сервера и IP-адрес удаленной машины:

your-server-ip
remote-machine-ip

Сохраните и закройте файл, затем перезапустите сервис CSF и LFD, чтобы изменения вступили в силу:

csf -r
service lfd restart

Наконец, откройте свой веб-браузер и найдите IP-адрес сервера, за которым следует порт 8080:

http://your-server-ip:8080

Congratulations! You have successfully installed CSF. Thanks for using this tutorial for installing ConfigServer Security & Firewall on your Ubuntu 20.04 LTS Focal Fossa system. For Поздравляю! Вы успешно установили CSF. Благодарим за использование этого руководства по установке ConfigServer Security & Firewall в вашей системе Ubuntu 20.04 LTS Focal Fossa. Для получения дополнительной помощи или полезной информации мы рекомендуем вам посетить официальный сайт CSF .