ConfigServer Security Firewall (CSF)是一款基于iptables的防火墙,在后台使用iptables为Linux系统提供高级别的安全防护。成都联想服务器
状态包检查(SPI)iptables防火墙非常简单,易于配置,并且通过对Linux服务器的额外检查可以轻松灵活地进行配置和保护。
CSF自带了一个名为Login Failure Daemon(LFD)的服务,它每隔X秒运行一次,定期扫描最新的日志文件条目,寻找登录尝试,如果它在短时间内持续失败,就会屏蔽这些IP。
这些行为通常被称为 暴力攻击。
Csf支持主要的Linux操作系统,如Red Hat Enterprise Linux (RHEL)、CentOS、Fedora、CloudLinux、Ubuntu、Debian、openSUSE和Slackware。
此外,它还支持以下控制面板,如cPanel、CentOS Web Panel (CWP)、DirectAdmin、InterWorx和Webmin。
如果您需要的话,也可以通过几个简单的步骤启用Web UI。
CSF目录结构:
/etc/csf/ - 配置文件
/var/lib/csf/ - 临时数据文件
/usr/local/csf/bin/ - scripts(脚本)。
/usr/local/csf/lib/ - perl模块和静态数据。
/usr/local/csf/tpl/ - 电子邮件警报模板
一、如何在Linux服务器上安装ConfigServer安全和防火墙(CSF)
安装非常简单,请按照以下步骤进行安装。
1、如何在Linux上安装CSF所需的Perl模块?
当你在系统上安装Perl时,大多数Perl模块必须默认安装,但你需要手动安装以下Perl模块。
对于RHEL/CentOS 6/7系统,使用yum命令安装以下Perl模块。
# yum install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph
对于RHEL / CentOS 8和Fedora系统,请使用dnf命令安装以下Perl模块。
# dnf install perl-libwww-perl.noarch perl-LWP-Protocol-https.noarch perl-GDGraph
对于Debian / Ubuntu系统,请使用apt命令或apt-get命令安装以下Perl模块。
# apt-get install libwww-perl liblwp-protocol-https-perl libgd-graph-perl
使用wget命令从以下URL 下载并安装最新的CSF存档源代码。
# cd /usr/src
# wget https://download.configserver.com/csf.tgz
# tar -xzf csf.tgz
# cd csf
# sh install.sh
完成安装后,运行“ csftest.pl”脚本以检查系统是否具有必需的iptable模块。
注意:您不应运行任何其他iptables防火墙配置脚本。例如,如果您以前使用过APF + BFD,则可以通过运行以下脚本将其删除。
# sh /usr/local/csf/bin/remove_apf_bfd.sh
如果您使用的是现代Linux发行版,请使用systemctl命令禁用防火墙服务。
# systemctl stop firewalld
# systemctl disable firewalld
运行以下命令以启用lfd守护程序,否则它将无法启动。为此,您需要使用sed命令将文件“ /etc/csf/csf.conf”中的值“ TESTING = 1”更改为“ TESTING = 0” 。
# sed s/TESTING = 1/TESTING = 0/g /etc/csf/csf.conf
运行以下命令以重新启动CSF防火墙,以使更改生效。您可以使用csf命令轻松管理CSF防火墙。
# csf -r
或者
# csf --restart
默认情况下,这允许在“ TCP_IN和TCP_OUT”中的文件“ /etc/csf/csf.conf”中使用逗号分隔的一组输入和输出端口。您可以根据需要添加/修改它们(如下所示)。
二、如何按来源限制传入连接
此选项配置iptables以防止针对特定端口的DDOS攻击。该选项通过将新的并发连接数限制为可以建立到特定端口的IP地址的方式起作用。
为此,请在“ CONNLIMIT”参数中添加条目。语法为“端口;限制”,您可以添加多个端口,以逗号分隔。
#vi /etc/csf/csf.conf
CONNLIMIT =“ 22; 5,80; 20”
上面的设置最多只允许5个并发新连接到每个IP地址的端口22,并允许20个并发新连接到IP地址的端口80。
三、如何使用CSF执行/运行自定义iptables规则
CSF提供了“ csfpre.sh”和“ csfpost.sh”脚本,使您可以在csf设置iptables链和规则之前和/或之后运行外部命令。
“ csfpre.sh和csfpost.sh”文件应在“ / usr / local / csf / bin”目录下创建,该目录需要可执行权限。
最后,根据需要将自定义脚本添加到文件中。
四、重要的CSF配置文件列表
以下是控制CSF中大多数规则的重要配置文件。如果手动修改这些文件,则需要重新启动csf,然后再对它们进行lfd才能生效。
csf.conf – 主配置文件,其中包含有用的注释,解释每个选项的作用
csf.allow – 应始终通过防火墙允许的IP地址和CIDR地址的列表
csf.deny – IP和CIDR地址的列表,这些地址永远不应通过防火墙
csf.ignore – lfd应该忽略而不被阻塞的IP和CIDR地址的列表
csf.*ignore – 各种忽略文件,列出lfd应该忽略的文件,用户和IP。查看每个文件的特定用途
五、如何在Linux上卸载CSF和LFD
运行以下脚本,从系统中删除csf和lfd。
#sh /etc/csf/uninstall.sh
成都联想服务器代理【公司名称】成都鸿盛广达科技有限公司
【代理级别】成都联想服务器总代理
【销售经理】成都鸿盛广达科技有限公司
【联系方式】座机:028-85952921 手机:13981931555
【公司地址】成都市武侯区人民南路四段一号时代数码广场A座17楼
