Config Server Firewall (oder CSF) ist ein fortschrittlicher Firewall- und Proxy-Server für Linux. Sein Hauptzweck besteht darin, einem Systemadministrator zu ermöglichen, den Zugriff zwischen dem lokalen Host und den verbundenen Computern zu steuern. Die Software kann auch so konfiguriert werden, dass sie den Netzwerkverkehr auf böswillige Aktivitäten überwacht.
Es bietet eine Reihe von Funktionen wie „Firewall-Richtlinien“, die neben NAT-Diensten (Network Address Translation), Proxy-Diensten, DNS-Resolver-Abfragen auf Ihren eigenen DNS-Servern zwischenspeichern oder überhaupt nicht zwischenspeichern, Filter aller Art ermöglichen. Es unterstützt auch authentifizierte Benutzer mit unterschiedlichen Privilegien für bestimmte Aufgaben wie das Verwalten von Firewall-Richtlinien oder das Erweitern des NAT-Dienstes. Es hat auch einen netten „System Logger“, der es ermöglicht, alle Arten von Ereignissen zu protokollieren, die auf dem System passieren, zum Beispiel Anmeldungen, Abmeldungen, Dateiänderungen, Ergänzungen oder jede andere Art von Ereignis.
Die Software ist in mehreren Sprachen verfügbar, darunter Englisch, Portugiesisch und Französisch.
Der Quellcode der Software ist unter den Bedingungen einer GNU General Public License frei verfügbar.
Heutzutage sind Schwachstellen in Anwendungen und Konfigurationsdateien der häufigste Angriffsvektor für die meisten Sicherheitsprodukte. CSF macht es schwierig, solche Schwachstellen auszunutzen. Wenn Sie planen, ein Open-Source-Unternehmen zu betreiben oder ein Linux-System als Backend für Ihre Webanwendung zu verwenden, sollten Sie die Installation von Config Server Firewall (CSF) in Erwägung ziehen.
In diesem Artikel zeigen wir, wie Sie einen CSF-Server unter Debian Linux installieren und konfigurieren können. Diese Anleitung funktioniert für die Debian-Versionen 10 und 11. Nachdem Sie diese Anleitung gelesen haben, können Sie die grundlegende CSF-Firewall und den Proxy-Server aktivieren.
Voraussetzungen
- Dieser Artikel geht davon aus, dass Sie ein Debian 10- oder Debian 11-Linux-System mit Root-Rechten haben.
- Diese Anleitung setzt voraus, dass Sie eine funktionierende Internetverbindung auf dem Server haben.
- In diesem Handbuch wird davon ausgegangen, dass Sie über Grundkenntnisse in Linux und der Befehlszeile verfügen.
Aktualisieren Ihres Systems
Vor der Installation eines Pakets ist es immer eine gute Praxis, Ihr System zu aktualisieren. Lassen Sie uns den folgenden Befehl ausführen, um das System zu aktualisieren.
sudo apt update && sudo apt upgrade -y
Diese Befehle prüfen, ob Updates in den Repositories verfügbar sind, und installieren sie. Dann müssen Sie die folgenden Befehle ausführen, um die erforderlichen Abhängigkeiten zu installieren. Die Abhängigkeiten, die Sie hier installieren, werden standardmäßig nicht installiert. Sie müssen sie manuell installieren. Der Grund dafür ist, dass sie einem bestimmten Programm zusätzliche Funktionalität bieten und nicht immer benötigt werden.
sudo apt install wget libio-socket-ssl-perl git perl iptables -y sudo apt install libnet-libidn-perl libcrypt-ssleay-perl -y sudo apt install libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip - y
Beispielausgabe:
Installation der CSF-Firewall auf Debian 11
Nachdem Sie nun alle erforderlichen Abhängigkeiten installiert haben, können Sie CSF unter Debian Linux installieren. Der Installationsprozess ist ziemlich einfach, aber gehen wir ihn Schritt für Schritt durch.
Die Debian-Repositories enthalten das CSF-Paket standardmäßig nicht. Damit CSF funktioniert, müssen Sie das CSF-Paket manuell herunterladen und installieren.
Sobald das CSF-Archiv extrahiert wurde, haben Sie einen neuen Ordner mit dem Namen csf. Das csf-Verzeichnis enthält alle Dateien und die Installation, die Sie benötigen, um CSF auf dem Debian-Server zu installieren.
Führen Sie den Befehl ls -l aus, um zu überprüfen, ob das neue Verzeichnis erstellt wurde.
ls -l
1. Führen Sie den Befehl wget http://download.configserver.com/csf.tgz aus, um das CSF-Paket in Ihr aktuelles Arbeitsverzeichnis herunterzuladen.
wget http://download.configserver.com/csf.tgz
2. Sobald Sie das heruntergeladene Paket haben, führen Sie den Befehl tar -xvzf csf.tgz aus, um das Paket in Ihr aktuelles Arbeitsverzeichnis zu extrahieren. tar steht für Tape Archive und ist eine Methode, um ein Archiv von Dateien zu erstellen. x bedeutet extrahieren und v steht für ausführliche Operationen. z steht für gzip-Komprimierung, was bedeutet, dass die Datei komprimiert ist. f steht für einen Archivdateinamen, und in diesem Fall ist es csf.tgz.
tar -xvzf csf.tgz
Sobald das CSF-Archiv extrahiert wurde, haben Sie einen neuen Ordner mit dem Namen csf. Das csf-Verzeichnis enthält alle Dateien und die Installation, die Sie benötigen, um CSF auf dem Debian-Server zu installieren.
3. Führen Sie den Befehl ls -l aus, um zu überprüfen, ob das neue Verzeichnis erstellt wurde.
ls -l
4. Wechseln Sie in das csf-Verzeichnis und führen Sie den Befehl sudo bash install.sh aus, um CSF auf Ihrem System zu installieren.
install.sh ist ein Installationsskript, das automatisch das neueste CSF-Paket herunterlädt und auf Ihrem System installiert. Dieses Skript erledigt die ganze harte Arbeit im Zusammenhang mit dem Herunterladen, Extrahieren und Installieren der erforderlichen Abhängigkeiten usw. für Sie.
Ein Installationsskript ist eine ausführbare Textdatei, die den Installationsprozess eines Programms oder Pakets auf Ihrem System automatisiert. Das Skript überprüft normalerweise, was es installieren muss, und lädt es dann herunter und installiert es auf Ihrem System. Dies reduziert die Zeit, die Sie mit der Installation und Konfiguration von Dingen verbringen, erheblich und reduziert Fehler im Zusammenhang mit der manuellen Konfiguration von Dingen.
cd csf && sudo bash install.sh
Der Installationsvorgang dauert einige Minuten, also warten wir einfach, bis er abgeschlossen ist. Sobald die Installation abgeschlossen ist, erhalten Sie die folgende Ausgabe.
An diesem Punkt haben Sie CSF korrekt auf Ihrem Debian 10 Linux-Server installiert. Sie sollten jedoch prüfen, ob die iptables-Module in Ihrem System verfügbar sind. iptables werden bei der Erstellung von CSF-Regeln und Firewalls verwendet.
5. Führen Sie den Befehl sudo perl /usr/local/csf/bin/csftest.pl aus, um zu überprüfen, ob die iptables-Module verfügbar sind.
sudo perl /usr/local/csf/bin/csftest.pl
Wenn Sie eine Ausgabe wie unten erhalten, können Sie loslegen.
CSF-Firewall-Richtlinien konfigurieren
Nachdem Sie CSF auf Ihrem Debian-Linux-Server installiert haben, ist es an der Zeit, es zu konfigurieren. In diesem Abschnitt gehen wir darauf ein, wie einige grundlegende CSF-Firewall-Richtlinien konfiguriert werden.
Die Konfigurationsdatei csf.conf befindet sich im Verzeichnis /etc/csf und wird verwendet, um die CSF-Firewall-Richtlinien und -Regeln zu definieren.
1. Durch Ausführen des Befehls sudo nano /etc/csf.conf wird die Konfigurationsdatei csf.conf geöffnet. Dadurch können Sie den Inhalt dieser Datei bearbeiten und anzeigen
sudo nano /etc/csf/csf.conf
Als erstes müssen Sie Ihre offenen Ports konfigurieren. Mit offenen Ports definieren Sie, welche Ports Ihre Benutzer verwenden können, um Ihre Backends zu erreichen.
Scrollen Sie nach unten zum Abschnitt „Eingehend zulassen“ und „Ausgehend zulassen“, um alle offenen Ports anzuzeigen. Die am häufigsten verwendeten Ports werden standardmäßig geöffnet. Sie können zusätzliche Ports öffnen, indem Sie die Portnummer manuell zur Liste der offenen Ports hinzufügen, wenn Sie Verbindungen über diese zulassen möchten.
Aber denken Sie daran, je mehr offene Ports Sie haben, desto mehr Risiko gehen Sie ein. Sie möchten nicht, dass Ihr Server eine sitzende Ente für die bösen Jungs ist. Behalten Sie diese offenen Ports also immer unter Kontrolle und öffnen Sie nicht zu viele auf einmal.
2. Standardmäßig TESTING ist auf 1 gesetzt. Sie sollten dies auf 0 ändern, sobald Sie mit dem Testen fertig sind,
Vorher
Nach
3. ConnLimit Die Direktive CSF kann auch die Anzahl eingehender Verbindungen zu einem bestimmten Port auf einen bestimmten Wert begrenzen. Dies ist nützlich, wenn Sie die Anzahl der gleichzeitigen Verbindungen auf jeweils einen Port beschränken möchten.
Beispielsweise würde 22;1;443;10 Ihre Firewall so einrichten, dass nur bestimmte Verbindungen zu Port 22 und 443 zu einem bestimmten Zeitpunkt zugelassen werden. Dieser Wert begrenzt die Anzahl der gleichzeitig eingehenden Verbindungen zu Port 22 auf jeweils nur eine und legt ein Limit von zehn gleichzeitig eingehenden Verbindungen zu Port 443 gleichzeitig fest.
3. PORTFLOOD -Direktive wird verwendet, um die Anzahl aufeinanderfolgender Verbindungsversuche von einer einzelnen IP-Adresse anzugeben, die pro Zeitintervall blockiert werden sollen. Beispielsweise würde 22;tcp;3;3600 die Firewall so einstellen, dass Verbindungen für 60 Minuten (3600 Sekunden) blockiert werden, wenn mehr als 3 aufeinanderfolgende Verbindungsversuche auf Port 22 von einer einzelnen IP erkannt werden. Die gesperrte IP wird nach Ablauf der 3600 Sekunden automatisch entsperrt.
4. Speichern und schließen Sie die Konfigurationsdatei csf.conf, wenn Sie fertig sind. Jetzt können Sie Ihre SF-Firewall neu laden, um die Änderungen zu übernehmen.
sudo csf -r
Führen Sie den Befehl sudo csf -l aus, um zu überprüfen, ob Ihre Änderungen mit der Firewall synchronisiert wurden.
sudo csf -l
Schlussfolgerung
In diesem Artikel haben wir gelernt, wie man CSF auf einem Debian-Linux-Server installiert und konfiguriert. CSF ist ein relativ neues Firewall-Tool, mit dem Sie Firewall-Richtlinien und -Regeln einfach konfigurieren können. CSF ist vielleicht nicht die beste Firewall-Lösung da draußen, aber es ist ein guter Ausgangspunkt für einen neuen Linux-Firewall-Administrator. Hinterlassen Sie einen Kommentar, wenn Sie Fragen oder Feedback haben.