Diese Anleitung zeigt Ihnen, wie Sie Configserver Security &Firewall installieren müssen. Eine Stateful Packet Inspection (SPI)-Firewall, Login/Intrusion Detection und Sicherheitsanwendung für Linux-Server.
Diese Suite von Skripten bietet:
- Einfaches SPI-iptables-Firewall-Skript
- Daemon-Prozess, der auf Anmeldeauthentifizierungsfehler prüft für:
- Courier-imap, Dovecot, uw-imap, Kerio
- openSSH
- cPanel, WHM, Webmail (nur cPanel-Server)
- Pure-ftpd, vsftpd, Proftpd
- Passwortgeschützte Webseiten (htpasswd)
- Mod_security-Fehler (v1 und v2)
- Suhosin-Fehler
- Exim SMTP AUTH
- Benutzerdefinierte Anmeldefehler mit separater Protokolldatei und Übereinstimmung mit regulären Ausdrücken
- POP3/IMAP-Login-Tracking, um Anmeldungen pro Stunde zu erzwingen
- SSH-Anmeldebenachrichtigung
- SU-Anmeldebenachrichtigung
- Übermäßige Verbindungsblockierung
- UI-Integration für cPanel , DirectAdmin und Webmin
- Einfaches Upgrade zwischen Versionen innerhalb von cPanel/WHM, DirectAdmin oder Webmin
- Einfaches Upgrade zwischen Versionen von der Shell aus
- Vorkonfiguriert, um auf einem cPanel-Server mit allen offenen cPanel-Ports zu funktionieren
- Vorkonfiguriert für den Betrieb auf einem DirectAdmin-Server mit allen offenen DirectAdmin-Ports
- Konfiguriert den SSH-Port automatisch, wenn er bei der Installation nicht dem Standard entspricht
- Verkehr auf ungenutzten Server-IP-Adressen blockieren – hilft, das Risiko für Ihren Server zu verringern
- Warnung, wenn Endbenutzer-Skripts übermäßig viele E-Mails pro Stunde senden – zur Identifizierung von Spam-Skripts
- Meldung verdächtiger Prozesse – meldet potenzielle Exploits, die auf dem Server ausgeführt werden
- Bericht über übermäßige Nutzerprozesse
- Berichte über übermäßige Nutzung von Benutzerprozessen und optionale Beendigung
- Meldung verdächtiger Dateien – meldet potenzielle Exploit-Dateien in /tmp und ähnlichen Verzeichnissen
- Verzeichnis- und Dateiüberwachung – meldet, wenn sich ein überwachtes Verzeichnis oder eine Datei ändert
- Blockieren Sie Datenverkehr auf der DShield-Sperrliste und der Spamhaus-DROP-Liste
- BOGON-Paketschutz
- Vorkonfigurierte Einstellungen für niedrige, mittlere oder hohe Firewall-Sicherheit (nur cPanel-Server)
- Funktioniert mit mehreren Ethernet-Geräten
- Server-Sicherheitsprüfung – Führt eine grundlegende Sicherheits- und Einstellungsprüfung auf dem Server durch (über cPanel/DirectAdmin/Webmin-Benutzeroberfläche)
- Dynamische DNS-IP-Adressen zulassen – Lassen Sie Ihre IP-Adresse immer zu, auch wenn sie sich ändert, wenn Sie sich mit dem Internet verbinden
- Warnung wird gesendet, wenn die durchschnittliche Serverlast über einen bestimmten Zeitraum hoch bleibt
- mod_security log reporting (falls installiert)
- E-Mail-Relay-Verfolgung – verfolgt alle E-Mails, die über den Server gesendet werden, und gibt Warnungen bei übermäßiger Nutzung aus (nur cPanel-Server)
- IDS (Intrusion Detection System) – die letzte Erkennungslinie warnt Sie vor Änderungen an System- und Anwendungsbinärdateien
- SYN Hochwasserschutz
- Ping des Todesschutzes
- Verfolgung und Blockierung von Port-Scans
- Permanent und Vorübergehende (mit TTL) IP-Blockierung
- Exploit-Überprüfungen
- Nachverfolgung von Kontoänderungen – sendet Benachrichtigungen, wenn ein Kontoeintrag geändert wird, z. wenn das Passwort geändert wird oder die Login-Shell
- Geteiltes Syslog-fähig
- Messenger-Dienst – Ermöglicht Ihnen, Verbindungsanfragen von blockierten IP-Adressen an vorkonfigurierte Text- und HTML-Seiten umzuleiten, um den Besucher darüber zu informieren, dass er in der Firewall blockiert wurde. Dies kann besonders nützlich für Benutzer mit einer großen Benutzerbasis sein und dabei helfen, Supportanfragen effizienter zu bearbeiten
- Ländercodeblockierung – Ermöglicht Ihnen, den Zugriff nach ISO-Ländercode zu verweigern oder zuzulassen
- Port-Flooding-Erkennung – Flooding-Erkennung und -Abwehr pro IP und Port-Verbindung, um DOS-Angriffe zu blockieren
- Integration der DirectAdmin-Benutzeroberfläche
- Aktualisierte Webmin-UI-Integration
- WHM-Root-Zugriffsbenachrichtigung (nur cPanel-Server)
- lfd-Clustering – ermöglicht die automatische Verbreitung von IP-Adressblöcken um eine Gruppe von Servern, auf denen lfd läuft. Es ermöglicht clusterweite Zulassungen, Entfernungen und Konfigurationsänderungen
- Schnellstart-csf – verzögerter Start durch lfd für Server mit großen Sperr- und/oder Zulassungslisten
- Verteilte Erkennung von fehlgeschlagenen Anmeldeversuchen
- Temporäre IP erlaubt (mit TTL)
- IPv6 Unterstützung mit ip6tables
- Integrierte Benutzeroberfläche – kein separates Control Panel oder Apache erforderlich, um die csf-Konfiguration zu verwenden
- Integrierte Unterstützung für cse innerhalb der integrierten Benutzeroberfläche
- cPanel-Reseller-Zugriff auf pro Reseller konfigurierbare Optionen Entsperren, Verweigern, Zulassen und Durchsuchen von IP-Adressblöcken
- Systemstatistiken – Grundlegende Diagramme, die die Leistung des Servers zeigen, z. Lastdurchschnitte, CPU-Auslastung, Speicherauslastung usw.
- ipset-Unterstützung für große IP-Listen
- …viel mehr!
Installation ============ Installation is quite straightforward: cd /usr/src rm -fv csf.tgz wget https://download.configserver.com/csf.tgz tar -xzf csf.tgz cd csf sh install.sh
GD::Graphs ========= This perl module is required for Statistical Graphs available from the csf UI. It is dependent on graphical libraries being installed for your OS (e.g. libgd, libpng, etc. which is beyond the scope of this document) The perl module itself can be installed in a variety of ways, e.g.: RedHat/CentOS/CloudLinux: # yum install perl-GDGraph Debian v6: # apt-get install libgd-graph-perl Direct from cpan.org: # perl -MCPAN -e shell cpan> install GD::Graph
Webmin Module Installation/Upgrade ================================== To install or upgrade the csf webmin module: Install csf as above Install the csf webmin module in: Webmin > Webmin Configuration > Webmin Modules > From local file > /usr/local/csf/csfwebmin.tgz > Install Module
Uninstallation ============== Removing csf and lfd is even more simple: cd /etc/csf sh uninstall.sh
(* erfordert möglicherweise benutzerdefinierte Regex-Muster für einige Funktionen) |
(** erfordert eine korrekte iptables-Konfiguration auf dem Hostserver) Hinweis:EOL-Betriebssysteme werden nicht unterstützt und neuere Versionen von csf funktionieren möglicherweise nicht mehr, wenn neue Funktionen hinzugefügt werden |