Jinsi ya kusakinisha Config Server Firewall (CSF) kwenye Debian/Ubuntu
ConfigServer na Security Firewall, iliyofupishwa kama CSF, ni ngome huria na ya hali ya juu iliyoundwa kwa ajili ya mifumo ya Linux. Haitoi tu utendakazi msingi wa ngome lakini pia hutoa safu mbalimbali za vipengele vya ziada kama vile kutambua kuingia/kuingia, ukaguzi wa matumizi mabaya, ulinzi wa kifo na mengine mengi.
[ Unaweza pia kupenda: Ngome 10 Muhimu za Usalama wa Chanzo Huria kwa Mifumo ya Linux ]
Zaidi ya hayo, pia hutoa ushirikiano wa UI kwa tovuti rasmi ya ConfigServer.
Katika mwongozo huu, tutakutembeza kupitia usakinishaji na usanidi wa ConfigServer Security & Firewall (CSF) kwenye Debian na Ubuntu.
Hatua ya 1: Sakinisha Firewall ya CSF kwenye Debian na Ubuntu
Kwanza kabisa, unahitaji kusakinisha baadhi ya vitegemezi kabla ya kuanza kusakinisha ngome ya CSF. Kwenye terminal yako, sasisha faharisi ya kifurushi:
$ sudo apt update
Ifuatayo, sasisha utegemezi kama inavyoonyeshwa:
$ sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
Kwa kuwa nje ya njia, sasa unaweza kuendelea na hatua inayofuata.
Kwa kuwa CSF haijajumuishwa katika hazina chaguo-msingi za Debian na Ubuntu, unahitaji kuisakinisha wewe mwenyewe. Ili kuendelea, pakua faili ya tarball ya CSF ambayo ina faili zote za usakinishaji kwa kutumia amri ifuatayo ya wget.
$ wget http://download.configserver.com/csf.tgz
Hii inapakua faili iliyobanwa iitwayo csf.tgz.
Ifuatayo, toa faili iliyoshinikizwa.
$ tar -xvzf csf.tgz
Hii inaunda folda inayoitwa csf.
$ ls -l
Ifuatayo, nenda kwenye folda ya csf.
$ cd csf
Kisha sakinisha Firewall ya CSF kwa kuendesha hati ya usakinishaji iliyoonyeshwa.
$ sudo bash install.sh
Ikiwa kila kitu kilikwenda sawa, unapaswa kupata matokeo kama inavyoonyeshwa.
Katika hatua hii, CSF imewekwa. Walakini, unahitaji kuthibitisha kuwa iptables zinazohitajika zimepakiwa. Ili kufanikisha hili, endesha amri:
$ sudo perl /usr/local/csf/bin/csftest.pl
Hatua ya 2: Sanidi Firewall ya CSF kwenye Debian na Ubuntu
Usanidi fulani wa ziada unahitajika Inayofuata, tunahitaji kurekebisha mipangilio michache ili kuwezesha CSF. Kwa hivyo, nenda kwenye faili ya usanidi ya csf.conf.
$ sudo nano /etc/csf/csf.conf
Badilisha maagizo ya KUPIMA kutoka 1 hadi 0 kama ilivyoonyeshwa hapa chini.
TESTING = "0"
Ifuatayo, weka maagizo ya RESTRICT_SYSLOG kuwa 3 ili kuzuia ufikiaji wa rsyslog/syslog kwa wanachama wa RESTRICT_SYSLOG_GROUP pekee.
RESTRICT_SYSLOG = "3"
Kisha, unaweza kufungua milango ya TCP na UDP kwa kupata maelekezo ya TCP_IN, TCP_OUT, UDP_IN na UDP_OUT.
Kwa chaguo-msingi, bandari zifuatazo zinafunguliwa.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995" UDP_IN = "20,21,53,80,443" UDP_OUT = "20,21,53,113,123"
Uwezekano ni kwamba hauitaji milango hiyo yote kufunguliwa, na mbinu bora za seva zinadai kwamba ufungue tu milango unayotumia. Tunapendekeza uondoe milango yote isiyo ya lazima na uache zile zinazotumiwa na huduma zinazoendeshwa kwenye mfumo wako.
Mara tu unapomaliza kubainisha milango unayohitaji, pakia upya CSF kama inavyoonyeshwa.
$ sudo csf -r
Ili kuorodhesha sheria zote za jedwali la IP zilizofafanuliwa kwenye seva, endesha amri:
$ sudo csf -l
Unaweza kuanza na kuwezesha firewall ya CSF wakati wa kuanza kama ifuatavyo:
$ sudo systemctl start csf $ sudo systemctl enable csf
Kisha thibitisha kuwa kweli firewall inaendelea:
$ sudo systemctl status csf
Hatua ya 3: Kuzuia na Kuruhusu Anwani za IP katika Firewall ya CSF
Moja ya vipengele muhimu vya ngome ni uwezo wa kuruhusu au kuzuia anwani za IP kufikia seva. Ukiwa na CSF, unaweza kuorodhesha (kuruhusu), kuorodhesha (kukataa) au kupuuza anwani za IP kwa kurekebisha faili zifuatazo za usanidi:
- csf.ruhusu
- csf.kataa
- csf.puuza
Ili kuzuia anwani ya IP, fikia tu faili ya usanidi ya csf.deny.
$ sudo nano /etc/csf/csf.deny
Kisha taja anwani za IP ambazo ungependa kuzuia. Unaweza kutaja anwani za IP kwa mstari kama inavyoonyeshwa:
192.168.100.50 192.168.100.120
Au unaweza kutumia nukuu ya CIDR kuzuia subnet nzima.
192.168.100.0/24
Ili kuruhusu anwani ya IP kupitia Iptables na kuitenga kutoka kwa vichujio au vizuizi vyote, hariri faili ya usanidi ya csf.allow.
$ sudo nano /etc/csf/csf.allow
Unaweza kuorodhesha anwani ya IP kwa kila mstari, au utumie anwani ya CIDR kama ilivyoonyeshwa hapo awali wakati wa kuzuia IPs.
KUMBUKA: Anwani ya IP itaruhusiwa hata ikiwa imefafanuliwa kwa uwazi katika faili ya usanidi ya csf.deny. Ili kuhakikisha kuwa anwani ya IP imezuiwa au kuorodheshwa, hakikisha kwamba haijaorodheshwa katika faili ya csf.allow.
Zaidi ya hayo, CSF hukupa uwezo wa kutenga anwani ya IP kutoka kwa IPtables au vichujio. Anwani yoyote ya IP katika faili ya csf.ignore haitaondolewa kwenye vichujio vya iptables. Inaweza tu kuzuiwa ikiwa imebainishwa kwenye faili ya csf.deny.
Ili kuondoa anwani ya IP kutoka kwa vichujio, fikia faili ya csf.ignore.
$ sudo nano /etc/csf/csf.ignore
Kwa mara nyingine tena, unaweza kuorodhesha mstari wa IP kwa mstari au utumie nukuu ya CIDR.
Na hiyo inahitimisha mwongozo wetu leo. Tunatumahi sasa unaweza kusakinisha na kusanidi ngome ya CSF bila hitilafu.