Installieren und konfigurieren Sie CSF (Config Server Firewall) und sichern Sie Ihr Debian 11.
CSF ist ein beliebtes Sicherheitstool für Linux, um den Server mit Stateful Packet Inspection Firewall (SPI), Intrusion Detection, einem Login-Fehlschlag-Daemon, DDOS-Schutz und Control Panel-Integration zu sichern.
In dieser Anleitung erfahren Sie, wie Sie CSF installieren und einrichten sowie die wesentlichen Befehle zur Verwendung der Firewall unter Debian 11
Ersteinrichtung
Aktualisieren Sie die Serverpakete auf die neuesten.
sudo apt update sudo apt dist-upgrade -y
Wenn Sie bereits UFW verwenden, das eine einfache Firewall ist, entfernen Sie UFW mit dem folgenden Befehl.
sudo apt remove ufw
Installationsabhängigkeiten
Installieren Sie die erforderlichen Abhängigkeiten, die von CSF verwendet werden.
sudo apt install perl zip unzip libwww-perl liblwp-protocol-https-perl
Installieren Sie Sendmail, das von CSF für die Kommunikation verwendet wird.
In dieser Dokumentation finden Sie detaillierte Informationen zur Einrichtung von Sendmail.
sudo apt install sendmail-bin
Jetzt haben Sie alle Abhängigkeiten, um CSF zu installieren und zu konfigurieren.
CSF installieren
Navigieren Sie zu /usr/src Verzeichnis.
Laden Sie das neueste Paket mit wget herunter .
sudo wget https://download.configserver.com/csf.tgz
Extrahieren Sie das heruntergeladene Paket.
sudo tar -xzvf csf.tgz
Jetzt CSF installieren.
cd csf sudo sh install.sh
Jetzt erhalten Sie eine Ausgabe wie unten, die die erfolgreiche Installation anzeigt.
Installation Completed
Überprüfen Sie, ob die erforderlichen iptables-Module vorhanden sind.
sudo perl /usr/local/csf/bin/csftest.pl
Sie erhalten eine Ausgabe ähnlich der untenstehenden.
Testing ip_tables/iptable_filter…OK Testing ipt_LOG…OK Testing ipt_multiport/xt_multiport…OK Testing ipt_REJECT…OK Testing ipt_state/xt_state…OK Testing ipt_limit/xt_limit…OK Testing ipt_recent…OK Testing xt_connlimit…OK Testing ipt_owner/xt_owner…OK Testing iptable_nat/ipt_REDIRECT…OK Testing iptable_nat/ipt_DNAT…OK RESULT: csf should function on this server
Sie können die CSF-Version mit dem folgenden Befehl überprüfen.
sudo csf -v csf: v14.15 (generic) *WARNING* TESTING mode is enabled - do not forget to disable it in the configuration
CSF konfigurieren
Sobald die Firewall installiert ist, wird sie standardmäßig so konfiguriert, dass sie im TEST-Modus läuft.
Um den TEST-Modus zu deaktivieren, müssen Sie Änderungen an /etc/csf/csf.conf vornehmen Datei.
sudo nano /etc/csf/csf.conf
Suchen Sie die Zeile TESTING =„1“ , und ändern Sie den Wert auf “0” .
TESTING = "0"
Suchen Sie die Zeile RESTRICT_SYSLOG =„0“ , und ändern Sie den Wert in „3“ . Dies bedeutet nur Mitglieder der RESTRICT_SYSLOG_GROUP darf auf syslog/rsyslog zugreifen Dateien.
RESTRICT_SYSLOG = "3"
Drücken Sie CTRL+X gefolgt von Y und ENTER um die Datei zu speichern und zu beenden.
CSF neu laden.
csf -ra
Zusätzliche Konfiguration
Um zusätzliche Portverbindungen zuzulassen.
Bearbeiten Sie /etc/csf/csf.conf
Suchen Sie die TCP_IN-Direktive und fügen Sie Ihre Ports hinzu.
# Allow incoming TCP ports TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995" # Allow outgoing TCP ports TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995,3306"
Ich habe den MYSQL-Port hinzugefügt, um eine Verbindung zu einem Remote-Server herzustellen.
Starten Sie CSF nach jeder Änderung neu.
sudo csf -ra
Grundlegende Befehle zum Verwalten von CSF
CSF starten
sudo csf -s
CSF stoppen
sudo csf -f
CSF neu starten
Sie müssen CSF jedes Mal neu starten, wenn sich die Konfigurationsdatei ändert.
sudo csf -ra
IP-Adresse zulassen
Verwenden Sie den -a Option zum Zulassen der IP-Adresse.
sudo csf -a 10.0.2.12
IP-Adresse ablehnen
Verwenden Sie den -d Option zum Zulassen der IP-Adresse.
sudo csf -d 10.0.2.12
IP von der Zulassungsliste entfernen
sudo csf -ar 10.0.2.12
IP aus der Deny-Liste entfernen
sudo csf -dr 10.0.2.12
Überprüfen Sie, ob die IP blockiert ist
sudo csf -g IP-ADDRESS
IP aus dem Block entfernen
sudo css -tr IP-ADDRESS
IP-Listen zulassen
Fügen Sie Ihre IPs hinzu, die in einer separaten Zeile in der Zulassungsdatei /etc/csf/csf.allow aufgelistet sind .
IP-Listen ablehnen
Fügen Sie Ihre IPs hinzu, die in einer separaten Zeile in der Zulassungsdatei /etc/csf/csf.deny aufgelistet sind .
Schlussfolgerung
Jetzt haben Sie gelernt, wie Sie Ihren Server sichern, indem Sie CSF in Debian 11 installieren und konfigurieren.
Vielen Dank für Ihre Zeit. Wenn Sie auf ein Problem oder Feedback stoßen, hinterlassen Sie bitte unten einen Kommentar.