آموزش نصب و پیکربندی فایروال csf

فایروال پیکربندی سرور (یاcsf)یک فایروال رایگان و پیشرفته برای اکثر توزیع های لینوکس و سرورهای مجازی مبتنی بر لینوکس می باشد. علاوه بر قابلیت اساسی فایروال – بسته های فیلتر- csf شامل ویژگی های امنیتی دیگری نیز هست، از قبیل ورود به سیستم/نفوذ/تشخیص flood . csf شامل واسط کاربری برای سی پنل ، دایرکت ادمین و webmin است . اما این آموزش تنها استفاده از خط فرمان را پوشش می دهد.Csf قادر به شناسایی بسیاری از حملات است، از قبیل اسکن پورت،SYN floods، و حملات بوروت فورس brute force))ورود بر روی بسیاری از سرویس ها. آن برای مسدود کردن موقت مشتریانی که حملات آنها بر روی سرور cloud تشخیص داده شده است ،پیکربندی شده است.
لیست کامل سیستم عامل های پشتیبانی شده و ویژگی های آنها بر روی وبسایت ConfigServer’s قابل مشاهده است.
این آموزش برای سرورهای مجازی مبتنی بر دبین از قبیل دبین و اوبونتو نوشته شده است. دستورات باید با مجوزهای Root با ورود به عنوان Root، یا شروع یک پوسته Root با دستورات زیر در صورتی که sudo نصب شده است، اجرا شوند:
sudosu

توجه: این آموزش امنیت IPV4 را شامل می شود. در لینوکس ، امنیت IPV6 به طور جداگانه از IPV4 نگهداری می شود. برای مثال ،”iptables” فقط رول های فایروال را برای آدرس های IPV4 نگهداری می کند اما رونوشت های IPV6 دارد که “ip6tables” نامیده می شود، که می تواند برای نگهداری رول های فایروال برای آدرس های شبکه IPV6 استفاده شود.

اگر سرور مجازی شما برای IPV6 پیکربندی شده است ، لطفا به خاطر داشته باشید که رابط های شبکه IPV6 و IPV4 خود را با ابزارهای مناسب امن نمایید.

ویژگی ها

CSFطیف گسترده ای از حفاظت را برای سرور مجازی شما فراهم می نماید
احراز هویت ورودfailure daemon:
CSF لاگ های تلاش های ناموفق ورود را در فاصله زمانی منظم چک می کند، و قادر به تشخیص اکثر تلاش های غیرمجاز دسترسی به سرور کلود شما است. شما می توانید عمل های موردنظر و تعداد تلاش ها را برای CSF در فایل پیکربندی آن تعریف نمایید.
برنامه های کاربردی زیر توسط این ویژگی پشتیبانی می شوند:

• Courier imap, Dovecot, uw-imap, Kerio
• openSSH
• cPanel, WHM, Webmail (cPanel servers only)
• Pure-ftpd, vsftpd, Proftpd
• Password protected web pages (htpasswd)
• Mod_security failures (v1 and v2)
• Suhosin failures
• Exim SMTP AUTH

علاوه بر این موارد، شما قادر به تعریف فایل های ورود با تطبیق عبارت منظم هستید. این می تواند مفید باشد اگر شما یک برنامه کاربردی که ورودهای خطا را ثبت کند و از ورود کاربر بعد از تعداد مشخصی تلاش جلوگیری کند، داشته باشید.

ردیابی فرآیند

CSF می تواند برای فرایندهای دنبال کردن، به منظور شناسایی فرایندهای مشکوک یا پورت های شبکه باز ، و ارسال ایمیل به مدیر سیستم برای هر تشخیص ، پیکربندی شود. این ممکن است در تشخیص و توقف یک اکسپلویت ممکن بر روی سرور مجازی شما کمک نماید.

مشاهده هر پوشه

مشاهده هر پوشه/Temp و پوشه های مربوط دیگر برای اسکریپت های مخرب، و ارسال ایمیل به مدیر سیستم وقتی که موردی تشخیص داده شود.

سرویس ارسال پیام

فعال کردن این ویژگی به csf اجازه می دهد که هنگامی که یک بلاک اعمال می شود، پیام آموزنده تر بیشتری به مشتری ارسال کند ،این قابلیت هم جوانب مثبت و هم منفی دارد. از یک طرف ، فعال شدن آن اطلاعات بیشتری برای مشتری فراهم می کند، و بنابراین ممکن است سرخوردگی کمتری ایجاد کند به عنوان مثال در مورد ورودهای ناموفق . از طرف دیگر ، این اطلاعات بیشتری را فراهم می کندکه ممکن است کار حمله کننده ها را برای حمله به سرور مجازی شما راحت تر کند.

حفاظت از پورت flood

این تنظیم ،حفاظت را در مقابل حملات پورتflood از قبیل تکذیب سرویس (DDOS) تامین می کند. شما ممکن است مقدار کانکشن مجاز بر روی هر پورت با بازه زمانی مشخص با میل خود تعیین کنید. فعال کردن این ویژگی توصیه می شود،از آنجا که ممکن است از دسترس خارج کردن سرویس شما توسط مهاجم جلوگیری کند. شما باید به محدودیتی که تنظیم می کنید توجه داشته باشید.از آنجا که تنظیمات خیلی محدود، اتصالات را از مشتری های عادی نیز خواهد گرفت. سپس دوباره ، تنظیمات بیش از حد مجاز ممکن است به مهاجم اجازه دهد تا در حملات flood خود موفق باشند.

بستن پورت

بستن پورت به کاربران اجازه می دهد تا اتصال خود با سرور را بدون هیچ پورت بازی برقرار نمایند. سرور به کاربران اجازه می دهد تا به پورت های اصلی تنها پس از یک توالی بستن پورت موفق، وصل شوند.شما ممکن است این را مفید بدانید اگر در حال ارائه سرویس هایی هستید که تنها در دسترس مخاطبان محدود هستند.

حفاظت حد اتصال

این ویژگی می تواند برای محدود کردن تعداد اتصالات فعال همزمان از یک آدرس آی پی به هر پورت ،استفاده شود. هنگامی که به درستی پیکربندی شد، می تواند از سوء استفاده ها بر روی سرور نظیر حملات Dos جلوگیری کند.

ریدایرکت آدرس آی پی/پورت

CSF می تواند برای ریدایرکت اتصالات از یک ip/port به ip/port دیگر استفاده شود.نکته: بعد از ریدایرکت ، آدرس اصلی مشتری ، آدرس آی پی سرور خواهد بود. این با ترجمه آدرس شبکه (NAT) برابر نیست.

مجتمع سازی UI

علاوه بر رابط خط فرمان ، CSF همچنین مجتمع سازی UI را برای CPanel و Webmin ارائه می دهد. اگر شما با خط فرمان لینوکس آشنا نیستید، این ویژگی برایتان مفید خواهد بود.

لیست بلاک IP

این ویژگی به CSF اجازه می دهد تا لیست آدرس های IP بلاک شده را به صورت اتوماتیک از منبع تعریف شده توسط شما ، دانلود نماید.

نصب CSF

قدم اول : دانلود

CSF در حال حاضر در مخازن ابونتو و دبین موجود نیست و باید از وبسایت (config server) دانلود شود.

wget http://www.configserver.com/free/csf.tgz
این دستور CSF را به دایرکتوری مسیر جاری شما دانلود خواهد کرد.

قدم دوم : خارج کردن از حالت فشرده

فایل دانلود شده از بسته tar فشرده سازی شده است ، و باید قبل از استفاده غیرفشرده و اکسترکت شود.

tar -xzf csf.tgz

قدم سوم : نصب

اگر شما از اسکریپت های پیکربندی فایروال دیگری از قبیل UFW استفاده می کنید، شما باید آن را قبل از اقدام غیرفعال کنید. رول های IPtables به طور اتوماتیک پاک می شوند.
UFW توسط اجرای دستور زیر غیرفعال می شود:
ufw disable
حالا زمان اجرای اسکریپت نصب CSF است:
cdcsf
sh install.sh

فایروال اکنون نصب شده است ، اما شما باید چک کنید که آیا ماژول های IPtables لازم موجود هستند:

perl /usr/local/csf/bin/csftest.pl
اگر هیچ خطای خطرناکی گزارش نشود فایروال کار خواهد کرد.

نکته : آدرس IPشما در صورت امکان به لیست سفید اضافه می شود.بعلاوه ، پورت SSH به طور اتوماتیک باز شده است، حتی اگر آن از پورت های سفارشی استفاده کرده باشد . فایروال همچنین برای داشتن حالت تست فعال، پیکربندی شده است ، که این معنی را می دهد که رول های IPtable به صورت اتوماتیک پنج دقیقه بعد از شروع CSF پاک می شوند. این بایدغیرفعال شود ، زمانی که شما بدانید که پیکربندی شما کار می کند ، و شما تحریم نخواهید شد .

منبع

ترجمه شده توسط : آرزو رنجبرپور