How to Install Config Server Firewall (CSF) on Debian/Ubuntu

ConfigServer và Security Firewall, viết tắt là CSF, là một tường lửa nâng cao và mã nguồn mở được thiết kế cho các hệ thống Linux. Nó không chỉ cung cấp chức năng cơ bản của một tường lửa mà còn cung cấp một loạt các tính năng bổ sung như phát hiện đăng nhập/xâm nhập, kiểm tra lỗ hổng, bảo vệ chống ping of death và nhiều hơn thế nữa.

Ngoài ra, nó còn cung cấp tích hợp giao diện người dùng cho các bảng điều khiển phổ biến như cPanel, Webmin, Vesta CP, CyberPanel và DirectAdmin. Bạn có thể tìm thấy danh sách đầy đủ các tính năng và hệ điều hành được hỗ trợ trên trang web chính thức của ConfigServer.

Trong hướng dẫn này, chúng tôi sẽ hướng dẫn bạn cài đặt và cấu hình ConfigServer Security & Firewall (CSF) trên Debian và Ubuntu.

Bước 1: Cài đặt CSF Firewall trên Debian và Ubuntu

Đầu tiên, bạn cần cài đặt một số gói phụ thuộc trước khi bắt đầu cài đặt tường lửa CSF. Trên terminal của bạn, cập nhật chỉ mục gói:

sudo apt update

Tiếp theo, cài đặt các gói phụ thuộc như sau:

sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl  libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip

Với việc đó hoàn thành, bạn có thể tiến hành bước tiếp theo.

Vì CSF không được bao gồm trong các kho lưu trữ mặc định của Debian và Ubuntu, bạn cần phải cài đặt thủ công. Để tiếp tục, hãy tải xuống tập tin tarball CSF chứa tất cả các tập tin cài đặt bằng lệnh wget sau.

wget http://download.configserver.com/csf.tgz

Lệnh này tải xuống một tập tin nén có tên csf.tgz.

Download Config Server Firewall Download Config Server Firewall Tiếp theo, giải nén tập tin đã nén.

tar -xvzf csf.tgz

Lệnh này tạo ra một thư mục có tên csf.

ls -l

Config Server Firewall Files Config Server Firewall Files Tiếp theo, di chuyển vào thư mục csf.

cd csf

Sau đó cài đặt CSF Firewall bằng cách chạy script cài đặt như sau.

sudo bash install.sh

Nếu mọi thứ đều ổn, bạn sẽ nhận được đầu ra như hiển thị.

Install Config Server Firewall Install Config Server Firewall Tại thời điểm này, CSF đã được cài đặt. Tuy nhiên, bạn cần xác minh rằng các iptables cần thiết đã được tải. Để làm điều này, hãy chạy lệnh:

sudo perl /usr/local/csf/bin/csftest.pl

List CSF Iptables Rules List CSF Iptables Rules

Bước 2: Cấu hình CSF Firewall trên Debian và Ubuntu

Một số cấu hình bổ sung là cần thiết. Tiếp theo, chúng ta cần sửa đổi một vài cài đặt để kích hoạt CSF. Vì vậy, hãy truy cập vào tập tin cấu hình csf.conf.

sudo nano /etc/csf/csf.conf

Chỉnh sửa chỉ thị TESTING từ "1" thành "0" như được chỉ ra dưới đây

TESTING = "0"

Disable CSF Testing Disable CSF Testing Tiếp theo, đặt chỉ thị RESTRICT_SYSLOG thành "3" để hạn chế truy cập rsyslog/syslog chỉ cho các thành viên của RESTRICT_SYSLOG_GROUP.

RESTRICT_SYSLOG = "3"

Restrict CSF Rsyslog Access Restrict CSF Rsyslog Access Tiếp theo, bạn có thể mở các cổng TCP và UDP bằng cách xác định vị trí các chỉ thị TCP_IN, TCP_OUT, UDP_IN và UDP_OUT.

Theo mặc định, các cổng sau được mở.

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53,80,443"
UDP_OUT = "20,21,53,113,123"

Open CSF Ports Open CSF Ports Rất có thể bạn không cần tất cả các cổng đó được mở, và thực hành tốt nhất cho máy chủ đòi hỏi bạn chỉ mở các cổng mà bạn đang sử dụng. Chúng tôi khuyên bạn nên loại bỏ tất cả các cổng không cần thiết và chỉ giữ lại những cổng được sử dụng bởi các dịch vụ đang chạy trên hệ thống của bạn.

Sau khi bạn đã xong việc chỉ định các cổng bạn cần, hãy tải lại CSF như sau.

sudo csf -r

Để liệt kê tất cả các quy tắc bảng IP được định nghĩa trên máy chủ, hãy chạy lệnh:

sudo csf -l

Bạn có thể khởi động và kích hoạt tường lửa CSF khi khởi động như sau:

sudo systemctl start csf
sudo systemctl enable csf

Sau đó xác nhận rằng tường lửa đang chạy:

sudo systemctl status csf

Check CSF Status Check CSF Status

Bước 3: Chặn và Cho phép Địa chỉ IP trong CSF Firewall

Một trong những chức năng chính của tường lửa là khả năng cho phép hoặc chặn địa chỉ IP truy cập vào máy chủ. Với CSF, bạn có thể đưa vào danh sách trắng (cho phép), danh sách đen (từ chối) hoặc bỏ qua địa chỉ IP bằng cách sửa đổi các tập tin cấu hình sau:

csf.allow csf.deny csf.ignore

Chặn một Địa chỉ IP trong CSF Để chặn một địa chỉ IP, chỉ cần truy cập tập tin cấu hình csf.deny.

sudo nano /etc/csf/csf.deny

Sau đó chỉ định các địa chỉ IP mà bạn muốn chặn. Bạn có thể chỉ định các địa chỉ IP từng dòng một như sau:

192.168.100.50
192.168.100.120

Hoặc bạn có thể sử dụng ký hiệu CIDR để chặn một subnet hoàn chỉnh.

192.168.100.0/24

Cho phép một Địa chỉ IP trong CSF Để cho phép một địa chỉ IP thông qua Iptables và loại trừ nó khỏi tất cả các bộ lọc hoặc chặn, hãy chỉnh sửa tập tin cấu hình csf.allow.

sudo nano /etc/csf/csf.allow

Bạn có thể liệt kê một địa chỉ IP mỗi dòng, hoặc sử dụng địa chỉ CIDR như đã trình bày trước đó khi chặn các IP.

LƯU Ý: Một địa chỉ IP sẽ được cho phép ngay cả khi nó được định nghĩa rõ ràng trong tập tin cấu hình csf.deny. Để đảm bảo rằng một địa chỉ IP bị chặn hoặc đưa vào danh sách đen, hãy đảm bảo rằng nó không được liệt kê trong tập tin csf.allow.

Loại trừ một Địa chỉ IP trong CSF Ngoài ra, CSF cung cấp cho bạn khả năng loại trừ một địa chỉ IP khỏi IPtables hoặc các bộ lọc. Bất kỳ địa chỉ IP nào trong tập tin csf.ignore sẽ được miễn trừ khỏi các bộ lọc iptables. Nó chỉ có thể bị chặn nếu được chỉ định trong tập tin csf.deny.

Để miễn trừ một địa chỉ IP khỏi các bộ lọc, hãy truy cập tập tin csf.ignore.

sudo nano /etc/csf/csf.ignore

Một lần nữa, bạn có thể liệt kê các IP từng dòng một hoặc sử dụng ký hiệu CIDR.

Kết luận

Và đó là tất cả hướng dẫn của chúng tôi hôm nay. Chúng tôi hy vọng bạn giờ đây có thể cài đặt và cấu hình tường lửa CSF mà không gặp bất kỳ trở ngại nào.