So installieren Sie die Config Server Firewall (CSF) unter Debian 11

CSF ist auch bekannt als "Config Server Firewall" und ist eine kostenlose und fortschrittliche Firewall für Linux-Systeme. Es verfügt über einige erweiterte Sicherheitsfunktionen wie Einbruchs-, Überschwemmungs- und Anmeldeerkennung. Es wurde entwickelt, um sich gegen viele Angriffe wie Port-Scans, SYN-Floods und Login-Brute-Force-Angriffe zu verteidigen. Es bietet auch Integration für cPanel, DirectAdmin und Webmin.

Dieses Tutorial erklärt die CSF-Installation, grundlegende Konfiguration und wesentliche Befehle für CSF unter Debian 11.

Voraussetzungen

• Ein Server mit Debian 11.
• Auf dem Server ist ein Root-Passwort konfiguriert.

Erste Schritte

Bevor Sie beginnen, wird empfohlen, Ihre Systempakete auf die aktualisierte Version zu aktualisieren. Sie können dies mit dem folgenden Befehl tun:

apt-get update -y

Sobald alle Pakete aktualisiert sind, installieren Sie andere erforderliche Abhängigkeiten mit dem folgenden Befehl:

apt-get install sendmail dnsutils unzip libio-socket-ssl-perl libcrypt-ssleay-perl git perl iptables libnet-libidn-perl libio-socket-inet6-perl libsocket6-perl -y

Installieren Sie CSF auf Debian 11

Standardmäßig ist das CSF-Paket nicht im Standard-Repository von Debian 11 enthalten. Sie müssen es von der offiziellen Website herunterladen.

Sie können die neueste Version von CSF mit dem folgenden Befehl herunterladen:

wget http://download.configserver.com/csf.tgz

Sobald der Download abgeschlossen ist, extrahieren Sie die heruntergeladene Datei mit dem folgenden Befehl:

tar -xvzf csf.tgz

Wechseln Sie als Nächstes in das Verzeichnis CSF und führen Sie install.sh aus Skript, um CSF auf Ihrem Server zu installieren.

cd csf
bash install.sh

Sobald der CSF installiert wurde, sollten Sie die folgende Ausgabe erhalten:

Nicht vergessen:1. Konfigurieren Sie die folgenden Optionen in der csf-Konfiguration passend zu Ihrem Server:TCP_*, UDP_*2. csf und lfd3 neu starten. Setzen Sie TESTING auf 0, sobald Sie mit der Firewall zufrieden sind, lfd wird nicht ausgeführt, bis Sie dies tunHinzufügen der aktuellen SSH-Sitzungs-IP-Adresse zur csf-Whitelist in csf.allow:*WARNING* URLGET auf Verwendung von LWP eingestellt, aber Perl-Modul ist nicht installiert, Fallback zur Verwendung von CURL/WGETAHinzufügen von 106.222.22.32 zu csf.allow nur im TESTING-Modus (nicht iptables ACCEPT) *WARNUNG* TESTING-Modus ist aktiviert - vergessen Sie nicht, ihn in der Konfiguration "lfd.service" -> "/usr" zu deaktivieren /lib/systemd/system/lfd.service''csf.service' -> '/usr/lib/systemd/system/csf.service'Symlink /etc/systemd/system/multi-user.target.wants/csf erstellt .service → /lib/systemd/system/csf.service.Symlink erstellt /etc/systemd/system/multi-user.target.wants/lfd.service → /lib/systemd/system/lfd.service.Einheit konnte nicht deaktiviert werden :Unit-Datei firewalld.service existiert nicht.Firewalld.service konnte nicht gestoppt werden:Unit firewalld.service nicht geladen.Unit firewalld.service existiert nicht, wird trotzdem fortgesetzt.Symlink /etc/systemd/system/firewalld.service → /dev erstellt /null.'/etc /csf/csfwebmin.tgz' -> '/usr/local/csf/csfwebmin.tgz'Installation abgeschlossen

Überprüfen Sie nach der Installation die erforderlichen iptables-Module für CSF mit dem folgenden Befehl:

perl /usr/local/csf/bin/csftest.pl

Wenn alles in Ordnung ist, sollten Sie die folgende Ausgabe erhalten:

Teste ip_tables/iptable_filter...OKTeste ipt_LOG...OKTeste ipt_multiport/xt_multiport...OKTeste ipt_REJECT...OKTeste ipt_state/xt_state...OKTeste ipt_limit/xt_limit...OKTeste ipt_recent...OKTeste xt_connlimit.. .OKTeste ipt_owner/xt_owner...OKTeste iptable_nat/ipt_REDIRECT...OKTeste iptable_nat/ipt_DNAT...OKERGEBNIS:csf sollte auf diesem Server funktionieren

CSF konfigurieren

Als nächstes müssen Sie CSF basierend auf Ihren Anforderungen konfigurieren. Sie können es konfigurieren, indem Sie /etc/csf/csf.conf bearbeiten Datei.

nano /etc/csf/csf.conf

Suchen Sie zuerst die Zeile TESTING ="1" und ändern Sie den Wert auf "0", um CSF zu aktivieren:

TESTEN ="0"

Suchen Sie als Nächstes die Zeile RESTRICT_SYSLOG ="0" , und ändern Sie den Wert in 3 um den Zugriff auf syslog/rsyslog-Dateien nur für die Mitglieder der RESTRICT_SYSLOG_GROUP festzulegen :

RESTRICT_SYSLOG ="3"

Fügen Sie Ihre erforderlichen eingehenden offenen TCP-Ports in der folgenden Zeile hinzu:

TCP_IN ="20,21,22,25,53,80,110,143,443,465,587,993,995"

Fügen Sie Ihre erforderlichen ausgehenden TCP-Ports in der folgenden Zeile hinzu:

# Ausgehende TCP-Ports zulassenTCP_OUT ="20,21,22,25,53,80,110,113,443,587,993,995"

Fügen Sie Ihre erforderlichen eingehenden offenen UDP-Ports in der folgenden Zeile hinzu:

# Eingehende UDP-Ports zulassenUDP_IN ="20,21,53,80,443"

Fügen Sie Ihre erforderlichen ausgehenden UDP-Ports in der folgenden Zeile hinzu:

# Ausgehende UDP-Ports zulassenUDP_OUT ="20,21,53,113,123"

Speichern und schließen Sie die Datei und laden Sie dann die CSF-Firewall neu, um die Änderungen zu übernehmen:

csf -r

Grundlegende CSF-Befehle

Führen Sie den folgenden Befehl aus, um die CSF-Firewall zu stoppen:

csf -s

Führen Sie den folgenden Befehl aus, um die CSF-Firewall zu leeren:

csf -f

Führen Sie den folgenden Befehl aus, um alle von CSF hinzugefügten IPTABLES-Regeln aufzulisten:

csf -l

Führen Sie den folgenden Befehl aus, um die CSF zu starten und zu ermöglichen, dass sie beim Systemneustart gestartet wird:

systemctl start csf
systemctl enable csf

Führen Sie den folgenden Befehl aus, um den Status der CSF-Firewall zu überprüfen:

systemctl status csf

Sie sollten die folgende Ausgabe erhalten:

csf -a 192.168.100.10

csf -d 192.168.100.11

csf -ar 192.168.100.10

csf -dr 192.168.100.11

nano /etc/csf/csf.allow

192.168.100.10

nano /etc/csf/csf.deny

192.168.100.11